「Android」向けパスワードマネージャーから認証情報が漏えいする恐れ

Jack Wallen (Special to ZDNET.com) 翻訳校正: 矢倉美登里 高橋朋子 (ガリレオ)2023年12月12日 11時04分

 複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。

キーボードを打つ手
提供:DBenitostock/Getty Images

 この脆弱性「AutoSpill」は、先週開催された「Black Hat Europe 2023」カンファレンスで、国際情報技術大学ハイデラバード校(IIITH)の研究チームによって報告された

 AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる(WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能)。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。

 その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント情報を利用する場合を、例として挙げている。

 この脆弱性の影響を受けるパスワードマネージャーは、「1Password」「LastPass」「Enpass」「Keeper」「Keepass2Android」だという。また、認証情報がJavaScriptインジェクションを介して共有された場合は、「Dashlane」「Google Smart Lock」も影響を受ける。

 この脆弱性の性質上、フィッシングも悪意のあるアプリ内コードも必要としない。

 ただし注意すべきは、研究チームが、最新ではないハードウェアおよびソフトウェア環境でテストを行っている点だ。

 研究チームは「Pocophone F1」、サムスンの「Galaxy Tab S6 Lite」と「Galaxy A52」の3つのデバイスでテストを実施した。テストに用いたAndroidのバージョンは、「Android 10」(2020年12月のセキュリティパッチ適用)、「Android 11」(2022年1月のセキュリティパッチ適用)、「Android 12」(2022年4月のセキュリティパッチ適用)だ。

 そのため、この脆弱性が新しいバージョンのAndroidに影響するかを確実に知ることは難しい。

 しかし、これら以外のデバイスを使っているユーザーも、この脆弱性を軽視すべきではない。今回の報告はむしろ、Androidとインストールされているアプリを常に最新の状態に保つよう、注意を喚起するものだ。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]