web-dev-qa-db-ja.com

悪意のあるWebサイトにアクセスすると、iOSまたはAndroidデバイスに感染する可能性がありますか?

悪意のあるWebサイトにアクセスすると、iOSまたはAndroidデバイスに感染する可能性がありますか?

私たちはブラウザを介してそのようなサイトにアクセスすることについて話している。悪意のあるアプリのダウンロードについて話しているのではありません。

ありがとう!

5
Honey Badger

何曜日ですか?

理論的には違います。単にサイトにアクセスしても感染することはありません。

しかし、彼らが言うように、理論と実践の違いは、理論には違いがないということです。

私は実際に、悪意のあるコードを許可するブラウザの一部のコンポーネントの実装に欠陥がある(Javascriptの場合もあれば、Javaの場合もあれば、PDFレンダラー、場合によってはフォントレンダリングの場合もある)場合があります)、悪意のあるコード(または悪意のあるWebサイトでは、通行人にも感染するため、データを区別することが難しい場合があります。これは、「ドライブバイ」攻撃と呼ばれます。

しかし、これはセキュリティの重大な違反であり、そのような欠陥はパッチがすぐに適用される傾向があります。

悪意のある者がそのような欠陥を悪用するためのコードを書いた翌日、ブラウザにパッチが適用される前の日にWebサイトにアクセスすると、感染する可能性があります。悪意のあるコードがWebサイトに配置される前日、またはブラウザーにパッチが適用された翌日であれば、安全です。

私が言ったように:何曜日ですか?

6
ganbustein

はい。 iOS/AndroidデバイスのWebページにアクセスすると、JavaScriptが読み込まれる場合があります。これは、最も一般的な攻撃の方法です。

ケース: Android ケース: iOS

(これらの2つの例は、Googleのトップヒットにすぎません。同様のエクスプロイト/悪意のあるケースの多くの例があります)

3
KDEx

知っている最も無害なWebサイトに単純にアクセスすると、攻撃がトリガーされ、マシンを完全に制御することさえ可能になります。

ドライブバイダウンロード ブラウザーやプラグインの脆弱性を悪用して、ユーザーの同意や知識なしに多かれ少なかれ危険なマルウェアをインストールできる攻撃。

2
user45139

約2年前、デバイスにアクセスするだけでジェイルブレイクできるWebサイト「jailbreakme」がありました。 Safariの組み込みのPDFビューアの脆弱性を悪用し、おそらく他の脆弱性を悪用してroot権限を取得し、カーネルを変更して署名されていないコードを実行できるようにしました。

これにはパッチが適用されていますが、モバイルデバイスはデスクトップコンピューターと同じで、マルウェアはそのような脆弱性を悪用してユーザーとして任意のコードを実行し、他の脆弱性を使用して特権の昇格と完全な妥協を行うことができることを証明しています。

2
user42178