Google Play services SDK の GoogleAuthUtil.getToken メソッドにおける同意ダイアログを回避される脆弱性
| Title |
Google Play services SDK の GoogleAuthUtil.getToken メソッドにおける同意ダイアログを回避される脆弱性
|
| Summary |
Google Play services SDK の GoogleAuthUtil.getToken メソッドは、Bundle エクストラ変数に対応する _opt_ パラメータを発見した際、OAuth トークンリクエストにパラメータを設定するため、同意 (consent) ダイアログを回避される、および、SID および LSID スコープを含む任意の OAuth スコープのトークンを検出され、その結果、Google アカウントのアクセス権を取得される脆弱性が存在します。
|
| Possible impacts |
攻撃者により、巧妙に細工されたアプリケーションを介して、同意 (consent) ダイアログを回避される、および、SID および LSID スコープを含む任意の OAuth スコープのトークンを検出され、その結果、Google アカウントのアクセス権を取得される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 2, 2014, midnight |
| Registration Date |
Feb. 25, 2015, 10:51 a.m. |
| Last Update |
Feb. 25, 2015, 10:51 a.m. |
|
CVSS2.0 : 警告
|
| Score |
4.3
|
| Vector |
AV:N/AC:M/Au:N/C:N/I:P/A:N |
Affected System
| Google |
|
Google Play services SDK 2015 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2015年02月25日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2014-7922
| Summary |
The GoogleAuthUtil.getToken method in the Google Play services SDK before 2015 sets parameters in OAuth token requests upon finding a corresponding _opt_ parameter in the Bundle extras argument, which allows attackers to bypass an intended consent dialog and retrieve tokens for arbitrary OAuth scopes including the SID and LSID scopes, and consequently obtain access to a Google account, via a crafted application, as demonstrated by setting the has_permission=1 parameter value upon finding _opt_has_permission in that argument.
|
| Publication Date |
Feb. 23, 2015, 11:59 a.m. |
| Registration Date |
Jan. 26, 2021, 3:19 p.m. |
| Last Update |
Nov. 21, 2024, 11:18 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:google:play_services_sdk:*:*:*:*:*:*:*:* |
|
6.1 |
|
|
Related information, measures and tools
Common Vulnerabilities List