セキュリティ研究者のエリオット・アルダーソン氏は、Android版ESファイルエクスプローラーに新たな脆弱性を発見したと発表しました。この脆弱性により、アプリを一度起動するだけで、デバイス上のファイルや情報が同一ネットワーク上の誰にでも公開される可能性があると報告されています。アプリ起動後、ESはスマートフォンのポート59777を開いたままにするため、攻撃者はこのポートを悪用してJSONペイロードを挿入し、スマートフォンにアクセスできるようになります。
ES はこの問題を認識しており、Google Play ストアに更新バージョンをリリースしたため、ユーザーはすぐにアップグレードする必要があります。
参照: 情報セキュリティポリシーテンプレートのダウンロード (Tech Pro Research)
なお、Google Playストアでアプリをレビューした際に、自分のデバイスにもインストールされていたことに驚き、すぐにアップデートしました。Androidの世界では特に、私のように様々なアプリを試してレビューするのが好きな技術系ユーザーにとってはよくあることです。そのため、特定のアプリで問題が発生しているという情報を聞いた際は、必ず自分のデバイスにそのアプリがインストールされているかどうかを確認してください。
Tripwire の VERT (脆弱性および露出調査チーム) のコンピュータ セキュリティ研究者 Craig Young 氏によると、ES ファイル エクスプローラーの「オープン ポート」の脆弱性は当初報告されたよりもはるかに深刻です。
「DNSリバインディングのおかげで、攻撃者は実際には被害者の携帯電話と同じネットワーク上にいる必要はありません」とヤング氏は述べた。「この攻撃モデルでは、携帯電話に読み込まれたウェブサイト、あるいは同じネットワーク上のユーザーが開いたウェブサイトが、脆弱なHTTPサーバーに直接アクセスできるようになります。これにより、リモート攻撃者は脆弱なデバイスからファイルやシステム情報を収集できるようになります。ハッキングされたウェブページ、悪意のある広告、あるいはツイートされた動画などを通じて攻撃を仕掛けられる可能性があります。」
デバイスから情報を収集する方法
私は、セキュリティ関連の話題の中でも、デバイスからファイルやシステム情報がどのように収集されるかについて、Young 氏と話す機会がありました。
Scott Matteson:セキュリティ関連の話題の中で、デバイスからファイルやシステム情報を収集する方法の例を挙げていただけますか?
クレイグ・ヤング氏:ファイルやデバイスの詳細は、携帯電話に向けられた特殊なWebリクエストを通じて収集される可能性があります。最も単純な例は、カフェなどの公共Wi-Fiです。このシナリオでは、同じWi-Fiに接続している他のユーザーは誰でも、無料で入手できるハッキングツールを使用して、ネットワークに接続され脆弱なアプリケーションを実行している携帯電話やタブレットを特定できます。攻撃者はこのプログラムを使用して、デバイス上のファイルやアプリ、さらにはシステムに関する一般的な情報をリスト化できます。
より巧妙な攻撃としては、攻撃者が攻撃ページへのリンクを記載したスパムメール、IM、SMSを送信することが挙げられます。攻撃ページが読み込まれると、攻撃者のリンクを開いたユーザーと同じネットワークに接続されている脆弱なデバイスが特定されます。あるいは、攻撃者はこの悪意のあるコンテンツを広告に埋め込み、人気のあるウェブサイトに金銭を支払って訪問者にエクスプロイトを配信させるという手もあります。
参照: フィッシング攻撃: IT プロフェッショナル向けガイド (TechRepublic ダウンロード)
Scott Matteson: microSD カードのデータや情報も危険にさらされる可能性はありますか?
クレイグ・ヤング氏:主に危険にさらされるデータは、ダウンロードされたファイルや、デバイス上で作成された写真や動画です。ほとんどの場合、インストールされたmicroSDカード内のすべてのファイルが攻撃者にアクセス可能になります。
Scott Matteson: ES ファイル エクスプローラーから代替オプションに切り替えることをユーザーに推奨しますか?
クレイグ・ヤング:はい。ESファイルエクスプローラーをご利用のすべてのユーザーには、このアプリケーションの使用を中止することをお勧めします。この脆弱性を修正した最新のアップデートを適用しても、このアプリケーションは依然としてネットワークを監視しており、新たな脆弱性が発見されるのは時間の問題でしょう。率直に言って、最新のAndroidデバイスにESファイルエクスプローラーのようなアプリケーションはそもそも必要ありません。
Scott Matteson:このような性質の脆弱性は通常どのように検出されるのでしょうか?
クレイグ・ヤング氏:進行中の攻撃を検知する手段はほとんどありません。過去に攻撃が発生した場合、データ損失の証拠が残る可能性は極めて低いでしょう。
Scott Matteson:この種のもの (マルウェア対策、システム ログなど) はどのように保護できるでしょうか?
クレイグ・ヤング氏:アプリを削除することが唯一の保護方法です。最新バージョンにアップグレードすれば、現在知られている攻撃は防げますが、このアプリを信頼したり、同様の脆弱性が発見されないと期待したりする理由はありません。モバイル向けマルウェア対策ソフトウェアでこの攻撃を防げた可能性は低いでしょう。攻撃を防げる可能性のあるファイアウォールアプリはいくつかありますが、ユーザーが脆弱性を知らずに特別な設定を適用することなくユーザーを保護できたツールは、私の知る限り存在しません。
