Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

約半数のAndroidにマルウェア仕込まれる「TOCTTOU」の脆弱性

Androidにおいて、インストール時に正規アプリが改ざんされたり、マルウェアへ置き換えられる脆弱性が含まれていることがわかった。アプリの権限をチェックする時間が「隙」になっていたという。

米Palo Alto Networksが報告したもので、「Androidインストーラーハイジャック」の脆弱性は、アプリパッケージのインストール過程に含まれる。「Android 2.3」「同4.0.3」「同4.0.4」「同4.1.X」「同4.2.x」、および一部の「同4.3」に影響があり、全Androidユーザーのうち、49.5%に影響があると同社は分析している。

同社によれば、今回の脆弱性は、サードパーティのアプリストアよりダウンロードする場合にのみ影響があるという。Google Playからダウンロードする場合は、APKファイルを保護された領域に保存するため、攻撃は成立しない。

一方、サードパーティからダウンロードする場合、保護されていない領域を利用したり、直接インストールすることになるが、ダウンロードしてから、ユーザーがアプリの権限をチェックする際の時間差に「TOCTTOU(Time of Check to Time of Use)」の脆弱性が存在。その間にアプリを改ざんしたり、アプリを置き換えることが可能になるとしている。

脆弱性は、すでに「同4.4」で修正されている。また「同4.3_r0.9」も同様に対策済みだが、一部脆弱性が残っている端末もあり注意が必要だという。同社では、脆弱性をチェックできるアプリをGoogle Playに公開。またアプリをインストールする場合は、Google Playからダウンロードするなど、回避策を検討するよう呼びかけている。

(Security NEXT - 2015/03/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
CMSの「Zenphoto」にコード実行の脆弱性 - 最新版で修正
「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
MS、AMDプロセッサ向けに「Spectre」緩和策を追加
「Chrome」に重要度「高」の脆弱性 - アップデートがリリース
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
Windows版LINEにリンクでDLL読込パスを指定できる脆弱性 - すでに修正済み
スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性
NICT、脆弱性管理プラットフォーム「NIRVANA改弐」を発表