Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Androidに深刻な脆弱性、正規アプリを不正アプリに更新されるおそれ - Google Play経由は安全、今後端末向けパッチも

米Bluebox Securityが公表したAndroidの脆弱性が注目を集めている。脆弱性を悪用することで、正規アプリを作者以外が作成したアプリで更新することが可能になるという。

Androidでは、アプリを更新する際に、同一の開発者が作成したアプリであることを署名により確認するが、署名がないソフトを署名が有効であるように処理してしまう脆弱性が存在するという。

本来、署名できるのは作者に限られ、作者以外は更新を提供できないしくみだが、脆弱性を悪用することで、更新と見せかけて不正アプリを配布するといった攻撃が可能となる。

今回の脆弱性は、7月3日にBluebox SecurityのCTOであるJeff Forristal氏が発表。一部端末を除き、Android 1.6以降でほぼすべての端末が影響を受けるとし、「99%の端末に影響がある」と指摘した。

同発表を受け、SymantecやTrend Microなど複数のセキュリティ企業も今回の脆弱性について言及している。

米Symantecは、今回見つかった脆弱性の実装はきわめて単純であると分析。正規アプリへ不正なコードを埋め込み、正規アプリに見せかけて配布することで、すでにユーザーから許可を得ている機能を悪用できると危険性を説明する。

さらに不正アプリに注意を払っているユーザーであっても、再パッケージ化された悪質なコードを含むアプリであるか判断するのが難しいと脆弱性が与える影響の大きさを説明している。

一方米Trend Microによれば、すでにGoogleでは、公式サイト「Google Play」において、今回の脆弱性を悪用する不正アプリのブロックに対応しており、同サイト経由で更新するアプリに偽アプリが混入することはなく、危険を回避できるという。

またGoogleでは、製造メーカーにセキュリティ更新をリリースしており、順次アップデートが実施されるとの見通しを示した。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware AirWatch Console」のアクセス制御に脆弱性
一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大