改ざんした不正なAndroidアプリを正規のアプリとしてインストールできてしまう脆弱性が見つかった問題で、シマンテックは7月24日、中国でこの脆弱性を悪用したアプリが見つかったと発表した。パッチが行き渡るまでユーザーにできる対策は?
この問題は、米セキュリティ企業であるブルーボックスセキュリティが「マスターキー」の脆弱性と呼んでいるもので、Android端末がアプリケーションをインストールする際の矛盾を突いたもの。Androidアプリには、アプリの正当性を証明するための電子署名が付けられており、この電子署名をチェックすることにより、アプリが改ざんされていないかどうかを検出できるようになっている。ところがパッケージ内に同名のファイルがある場合、Androidのインストーラーは、最初のファイルで電子署名をチェックし、最後のファイルをインストールするという矛盾した動作をするため、正規のアプリケーションパッケージに不正なコードを忍び込ませることができてしまう。
ブルーボックスセキュリティが脆弱性を発見したのは、今年2月。脆弱性の存在を明らかにした7月3日時点では、まだこの脆弱性を悪用するアプリの存在は確認されていなかったが、早くも悪用する攻撃者が現れたようだ。シマンテックの発表によると、中国のAndroidマーケットプレイスで2件、サードパーティのアプリサイトで4件、この脆弱性を悪用する正規アプリを改ざんした不正なアプリが見つかったという。これらアプリは、デバイスの遠隔操作や各種情報の窃取、メッセージの送信などを可能にするコードが、正規のアプリに追加されているという。
●パッチのリリースはメーカー次第
ブルーボックスセキュリティによると、問題の脆弱性は、Android端末の99%に影響するという。グーグルは、すでに脆弱性を修正しており、一部の端末が適用済みであることが確認されている。ただし、ユーザーにパッチを提供するのは、各端末のメーカーなので、パッチが行き渡るまでには時間がかかるとみられる。さしあたっての対策は、公式マーケットから信頼できるアプリだけをダウンロードすることや、セキュリティソフトの導入といったところだ。
シマンテックやブルーボックスセキュリティでは、この脆弱性の影響を受ける端末のチェックや、悪用しているアプリのインストールチェックを行う無料のツール(いずれも英語版)を用意している。気になる方は、これらを使ってチェックしてみるとよいだろう。
(2013/08/01ネットセキュリティニュース )
【関連URL】
・Android の「マスターキー」脆弱性の悪用例を初めて確認(シマンテック)
http://www.symantec.com/connect/ja/blogs/android-18
・Master Keys and Vulnerabilities[英文](カスペルスキー)
http://www.securelist.com/en/blog/9107/Master_Keys_and_Vulnerabilities
・Uncovering Android Master Key That Makes 99% of Devices Vulnerable[英文](ブルーボックスセキュリティ)
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
・Scan Your Device for the Android “Master Key” Vulnerability[英文](ブルーボックスセキュリティ)
http://bluebox.com/corporate-blog/free-scanner-to-manage-risk-of-major-android-vulnerability/
【チェックツール:Google Play】
・Norton Halt exploit defender(シマンテック)
https://play.google.com/store/apps/details?id=com.symantec.android.nfr
・Bluebox Security Scanner(ブルーボックスセキュリティ)
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner