米国のモバイルセキュリティ企業Bluebox Securityは現地時間3日、Androidのセキュリティモデルに脆弱性が見つかり、過去4年間に発売された端末の99%が影響を受けると発表した。公式ストア以外で配布されている、いわゆる「野良アプリ」に注意が必要だ。
すべてのAndroidアプリには、そのアプリが正規のものであり改ざんが行われていないことを証明するために、デジタル署名が付与されている。Bluebox Securityによると、この脆弱性を悪用することにより、攻撃者はデジタル署名を書き換えることなく、アプリのコードを改ざんできる。アプリが改ざんされていてもデジタル署名に問題がないため、Android端末側では改ざんを見破ることができない。
影響が大きいのは、端末のメーカーが開発している正規アプリが改ざんされ、ユーザーがそれをインストールしてしまった場合。Androidシステムのすべての機能や、端末にインストールされているすべてのアプリとそのデータにアクセスされてしまうおそれがあるためだ。メール、SMSメッセージ、ドキュメントを閲覧されるだけでなく、端末に保存されているアカウントやパスワードを盗み取られ、端末を乗っ取られてしまう可能性もある。通話、メッセージの送信、写真撮影、通話の録音などが勝手に行われたり、端末がボットネットに組み込まれて悪用されたりといった被害にあうことも考えられる。
オンラインメディアの米CIOによると、Bluebox Securityの最高技術責任者であるJeff Forristal氏は、Googleからの情報として、Google Playではこの脆弱性を悪用しようとするアプリの登録がブロックされるようになったと語っている。またGoogleは、これまでに配布されていたアプリに問題はないと示唆しているという。Android端末を利用している場合、Google Playで配布されているアプリについては安心だと考えてよさそうだ。ただし、Google Play以外で配布されている「野良アプリ」にはこれまで以上に注意していただきたい。
Bluebox Securityは今年2月にGoogleへこの問題を通知しており、端末メーカーからファームウエアアップデートが配信される見込みだ。また、脆弱性の詳細については、ラスベガスで7月末から開催されるセキュリティカンファレンス「Black Hat USA 2013」で発表するという。
(2013/07/08 ネットセキュリティニュース)
【関連URL】
・Uncovering Android Master Key That Makes 99% of Devices Vulnerable[英文](Bluebox Security)
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
・Vulnerability allows attackers to modify Android apps without breaking their signatures[英文](CIO)
https://www.cio.com.au/article/466577/vulnerability_allows_attackers_modify_android_apps_without_breaking_their_signatures/