ブログ

FFRI BLOG

2013-03-06 Monthly Research 「続Man in the Browser in Androidの可能性」


技術戦略室の鈴木です。



今回のマンスリサーチは、2012年12月のマンスリーリサーチの続編として、Man in the Browser in Androidをテーマに、少し深く掘り下げて調査、実証いたしました。


今回用意した資料は2月末に開かれたSecurity Daysでの発表資料をもとにしており、一部、前回のマンスリーリサーチとの重複もありますが、
後半部分については新しい情報となっています。



Monthly Researchのダウンロードはこちら



特に、今回は、Firefox for Androidのアドオンを用いた攻撃で、実際にどのようなことができるのか、検証しました。



Firefox for Androidはアドオンに対応しており、悪意あるアドオンをインストールしてしまった場合、MITB攻撃が可能となります。

アドオンをインストールしてしまう経路としては2つ考えられ

1. ユーザーが自らインストールしてしまう場合

2. ユーザーが知らないうちにマルウェアによってインストールされてしまう場合

があります。


1.については、怪しいアドオンをインストールしないというのが第一の対策となりますが、これは今までのデスクトップ版Firefoxでも同様の注意が必要なものです。

一方、2.については、Androidの場合WindowsなどのOSと異なり、原則的には、マルウェアがインストール、実行されても、他のアプリには影響を与えられないというセキュリティサンドボックスの仕組みが働いているため、可能性としては低いと考えられています。


しかし、今回この調査の過程で、Firefox for Androidに脆弱性があることを発見し、それを利用するとAndroidでもマルウェアアプリがユーザーに気づかれることなくアドオンをインストールできてしまうことがわかりました。

脆弱性についてはすでにMozillaに報告済みです。


Androidについていえば、WindowsなどのデスクトップOSに比べればMITB攻撃を成功させる方法が限定されるとはいえ、ユーザーの不注意や、ブラウザの脆弱性によって十分にその攻撃対象となりうることが分かりました。

詳細はMonthly Researchをダウンロードして是非ご確認ください。




関連記事

Monthly Research「NFCとセキュリティ」

Monthly Research 「Man in the Browser in Androidの可能性」

Monthly Research 「数学者の暗号破りに見る "暗号の強さ" の重要性」