Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Androidに深刻な脆弱性、正規アプリを不正アプリに更新されるおそれ - Google Play経由は安全、今後端末向けパッチも

米Bluebox Securityが公表したAndroidの脆弱性が注目を集めている。脆弱性を悪用することで、正規アプリを作者以外が作成したアプリで更新することが可能になるという。

Androidでは、アプリを更新する際に、同一の開発者が作成したアプリであることを署名により確認するが、署名がないソフトを署名が有効であるように処理してしまう脆弱性が存在するという。

本来、署名できるのは作者に限られ、作者以外は更新を提供できないしくみだが、脆弱性を悪用することで、更新と見せかけて不正アプリを配布するといった攻撃が可能となる。

今回の脆弱性は、7月3日にBluebox SecurityのCTOであるJeff Forristal氏が発表。一部端末を除き、Android 1.6以降でほぼすべての端末が影響を受けるとし、「99%の端末に影響がある」と指摘した。

同発表を受け、SymantecやTrend Microなど複数のセキュリティ企業も今回の脆弱性について言及している。

米Symantecは、今回見つかった脆弱性の実装はきわめて単純であると分析。正規アプリへ不正なコードを埋め込み、正規アプリに見せかけて配布することで、すでにユーザーから許可を得ている機能を悪用できると危険性を説明する。

さらに不正アプリに注意を払っているユーザーであっても、再パッケージ化された悪質なコードを含むアプリであるか判断するのが難しいと脆弱性が与える影響の大きさを説明している。

一方米Trend Microによれば、すでにGoogleでは、公式サイト「Google Play」において、今回の脆弱性を悪用する不正アプリのブロックに対応しており、同サイト経由で更新するアプリに偽アプリが混入することはなく、危険を回避できるという。

またGoogleでは、製造メーカーにセキュリティ更新をリリースしており、順次アップデートが実施されるとの見通しを示した。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chrome 71.0.3578.98」がリリース、UAFの脆弱性を解消
11月のMS月例パッチ修正された脆弱性、中東のゼロデイ攻撃で悪用済み
DB管理ツール「phpMyAdmin」に深刻な脆弱性 - 修正版が公開
「Firefox 64」がリリース - 深刻な脆弱性などを修正
MS、2018年最後の月例セキュリティ更新 - 一部脆弱性でゼロデイ攻撃も
「Adobe Acrobat/Reader」、脆弱性87件に対処 - 当初予定より高い重要度
「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ
モバイルアプリの脆弱性診断サービス - インテック
IoT向け組込OS「AWS FreeRTOS」に複数脆弱性 - コード実行のおそれ
「Symfony」のフォームコンポーネントに脆弱性 - アップデートがリリース