Androidのアプリインストール時に、不正アプリを正規アプリに偽装する脆弱性「Fake ID」が発見され、多くのAndroidユーザーに影響を与えるとして、複数のセキュリティ企業が注意を喚起している。マカフィーは、この脆弱性を突く悪質アプリを検出するツール「Fake ID Detector」を無償公開した。
■Androidの脆弱性「Fake ID」とは
「Fake ID」とは、米国のモバイルセキュリティ企業「Bluebox」が発見し、7月29日(米国時間)に公表したAndroidの脆弱性で、この脆弱性が悪用されると、不正アプリが正規アプリを偽装することを可能にしてしまう。マカフィーの公式ブログはその危険性について、次のように説明している。
個々のアプリは固有の識別情報(電子証明書)を持っており、AndroidのOSはアプリの電子署名がそのアプリと適合しているかを確認することでアプリを検証している。「Fake ID」はこの検証プロセスを破壊し、あるアプリが別のアプリの識別情報をもって発行されたという主張を可能にする。「Fake ID」の脆弱性を悪用するアプリ開発者は、別のアプリの電子証明書をコピーし、新しいアプリの電子証明書と組み合わせて証明書チェーンを作成することで、本質的に前者のアプリのふりを可能にしてしまうのだ。
コピーされる電子証明書によっては、悪意あるアプリが本来よりも高い権限でシステムや他のアプリにアクセスするリスクがある。端末からデータが漏えいしたり、その他の悪意ある行為が行われたりする可能性がある。
■影響を受けるバージョンと対策
Android のバージョン2.1(Eclair)から4.3(Jelly Bean)を使用しているユーザーはこの脆弱性「Fake ID」の影響を受ける可能性がある。脆弱性を突いた悪意ある行為が行われても、Androidの最新バージョン以外では何の警告も発せられないため、ユーザーは気付くことができない。こうした危険を防ぐ重要な対策として、マカフィーは以下の3点を挙げている。
(1) Android端末を最新OSバージョン4.4.4に更新すること。ただし、これはGoogleのOEMメーカや通信キャリア会社に依存する。
(2) 端末をAndroidの最新バージョンに更新できない場合は、マカフィーが無償公開した新ツール「Fake ID Detector」によって、この脆弱性攻撃を含むアプリを検出する。
・Fake ID Detector(Google Play)
https://play.google.com/store/apps/details?id=com.mcafee.stinger.fakeid
(3) アプリを信頼できる場所からのみインストールすること。Googleは、この脆弱性攻撃を含むかどうかをアプリ公開前にチェックする仕組みを用意した。信頼できないアプリストアからのインストール、特にメールやSMSメッセージの添付ファイルやURLリンク経由でのインストールは避ける。
(2014/08/20 ネットセキュリティニュース)
【関連URL】
・Fake ID脆弱性を用いたAndroidのなりすましアプリに注意(マカフィー)
http://blogs.mcafee.jp/mcafeeblog/2014/08/fake-idandroid-3df8.html
・Androidの脆弱性「Fake ID」の危険性:正規アプリインストール後の改ざんが可能に(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/9642