SoftBankでJavaScript脆弱性、影響する端末は100種類以上に


ソフトバンク端末100機種以上にJavaScript関連の不具合 (Impress)
ソフトバンク107機種のブラウザに不具合――個人情報詐取の恐れも (ITmedia)
ブラウザのスクリプト設定について (SoftBank)

SoftBankの携帯電話107機種(後に訂正され106機種)で、WebブラウザのJavaScript機能に脆弱性が発見されました。JavaScript有効状態で悪意あるサイトを閲覧したときに、情報の詐取が生じる可能性がある人のこと。

対象となる機種は2010年春モデル以前~2006年秋冬モデルくらい(ちょうどVodafoneからSoftBankに切り替わった時期)で、これから発売される夏モデルは対策がとられているとのこと。対象機種における現状での対策は「ブラウザのJavaScript機能をOFFにする」ことのみです。脆弱性はYahoo!ケータイとフルブラウザの両方に関係するため、両方のJavaScriptをOFFにする必要があります。

そもそもSoftBank端末のブラウザにJavaScriptなんて入っていたんだという人も多いかと思いますが、SoftBank端末のブラウザは地味にインターネット親和性が高く、JavaScriptも相当ローエンドのモデルから対応しています。対応機種を使用している人は早めの対策を。

【余談1】

JavaScriptに関わる脆弱性はdocomoも去年の夏モデルでiモードブラウザ2.0でやらかしていますが、docomoはとりあえずJavaScript機能を殺した状態で販売し、冬くらいになってソフトウェアアップデートで有効化するという対応策を取りました。対してSoftBankの今回の事例では、ソフトウェアアップデートについては一切発表されず、提示された対策は「JavaScriptをOFFにしてください」のみ。確かに対応機種の数が半端でないのは分かりますが、これで対応を終わらせてしまうようではあまりにお粗末です。まあ現実的にはこれで終わりかなとも思いますが。現状この情報が流されているのがWebサイトのみというのも「脆弱性とはいうけど実際大丈夫でしょ」と思っているような空気を感じさせますね。ここは一発SoftBankさんにも真剣に動いてもらって、ブランド信頼度を上げて欲しいところです。

【余談2】

脆弱性の具体的な内容はSoftBankから発表になっていませんが、HASHコンサルティングがそれらしい発表をしています。

Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 (HASHコンサルティング)

これによると問題となっているのはJavaScriptの中でもAjax機能ということになりそうです。SoftBank携帯電話のJavaScript機能は、Ajax以外の「スクリプト」と、「Ajax」の2段階に分かれているのですが、SoftBankの発表ではAjaxに対応していない(JavaScriptには対応)機種も対象機種としているので、とりあえず大事をとってJavaScript対応端末を全てリストしたようです。

コメントを残す

メールアドレスが公開されることはありません。

Time limit is exhausted. Please reload CAPTCHA.