スマートフォンでリンクを踏むだけでハックされてしまう！？

これまでのスマートフォンに対する攻撃方法は様々なものがありましたが、悪意のあるアプリ（apkファイル）をインストールさせる方法がほとんどだったと思いますが、今回衝撃のハック方法が公開されました。。。

• スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 - GIGAZINE

記事によると、

• ブラウザでリンクをクリックするとフルリモートコントロール可能になる
• Webkitの脆弱性を利用している
• Android2.2/2.3，iPhone，iPad，BlackBerry，GoogleTVにも同様の脆弱性がある
• この脆弱性に関する情報は、1400ドルで販売中（！）

ということだそうです。

Android2.2/2.3に搭載されている標準ブラウザのWebkitの脆弱性ということで、IS03・EVOの2機種で確認してみたところ、どちらともWebkitのバージョンは”533.1”でした。恐らく全てのAndroid2.2/2.3端末がこのバージョンなのでしょう。

また、iPodtouch（iOS5.0）のバージョンは534.46、GalaxyNexusは534.30なので、この2機種については、ここで報告されている脆弱性には対応済みなのでしょう。

今回報告された方法は、iOSの1クリックJailBreakに似てますね。

このハックに対応するための方法はいくつかありますが、

• iOSの場合は最新のOSへアップデートする
• Android2.2/2.3の場合は標準ブラウザ（及びレンダリングエンジンにWebkitを利用している他ブラウザアプリ）を使用しない
• 対応済み端末へ買い換える
• 怪しいリンクは踏まない

位でしょうか。

Androidの場合は、Firefox（Gecko）やOpera（Presto）等を通常利用するブラウザとして設定することで、Webkitの脆弱性を突いた攻撃の影響を受けずに済むと思います（当方未確認です）。

Android/iOSでは、ブラウザがOSに組み込まれていて、バージョンアップにはOSのアップデートが伴わなければいけません。

今回の件を機会に、ブラウザをアプリのひとつと位置づけして、単独でアップデート出来るよう改善して欲しいと思います･･･