Androidの標準ブラウザ を標的としたフィッシング

http://blog.virifi.net/blog/2012/11/06/phishing-app-targeting-stock-browser-users/
Androidの標準ブラウザ利用者を標的としたフィッシングアプリの実現可能性とその対策


これは、怖い。。。
こんなことが出来るのか。。。汗


実際に見てみましたけど、起動するアニメーションを知らないこともあって、「あぁ、なんか、点滅しているな。。」ぐらいだったので、「こんなものか」と思ってしまうかもしれません。。汗


対策としては、標準ブラウザを使わずに、Chrome for Androidを使うということだが。。。
でも、たしか、Android 4.0 以降しか、動かなかったのでは?


ちなみに、標準ブラウザには、他にも問題があって、ブラウザの保存するデータが記録されているファイルは、置き場所が決まっていて、特に、ファイル自体は、暗号化されていないらしい。。
なので、file://hogehoge/〜〜 とかすれば、そのファイルが読めてしまうらしい。。。(;・∀・)


え?


誰かのAndroid端末を借りて、ブラウザ上で、file://hogehoge/... とかやると、他人のIDとかPWが、見れてしまう。。??


ありえん。。
これは、Googleに対策してもらわないと。。



それ以外にも、Webkit脆弱性が見つかっても、OSがバージョンアップするまでは、放置されるという問題があります。
Chromeだと、アプリだけアップデートすれば、それで済みます。

リンク集





twitter はじめました。
@windy6001