Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Androidに深刻な脆弱性、正規アプリを不正アプリに更新されるおそれ - Google Play経由は安全、今後端末向けパッチも

米Bluebox Securityが公表したAndroidの脆弱性が注目を集めている。脆弱性を悪用することで、正規アプリを作者以外が作成したアプリで更新することが可能になるという。

Androidでは、アプリを更新する際に、同一の開発者が作成したアプリであることを署名により確認するが、署名がないソフトを署名が有効であるように処理してしまう脆弱性が存在するという。

本来、署名できるのは作者に限られ、作者以外は更新を提供できないしくみだが、脆弱性を悪用することで、更新と見せかけて不正アプリを配布するといった攻撃が可能となる。

今回の脆弱性は、7月3日にBluebox SecurityのCTOであるJeff Forristal氏が発表。一部端末を除き、Android 1.6以降でほぼすべての端末が影響を受けるとし、「99%の端末に影響がある」と指摘した。

同発表を受け、SymantecやTrend Microなど複数のセキュリティ企業も今回の脆弱性について言及している。

米Symantecは、今回見つかった脆弱性の実装はきわめて単純であると分析。正規アプリへ不正なコードを埋め込み、正規アプリに見せかけて配布することで、すでにユーザーから許可を得ている機能を悪用できると危険性を説明する。

さらに不正アプリに注意を払っているユーザーであっても、再パッケージ化された悪質なコードを含むアプリであるか判断するのが難しいと脆弱性が与える影響の大きさを説明している。

一方米Trend Microによれば、すでにGoogleでは、公式サイト「Google Play」において、今回の脆弱性を悪用する不正アプリのブロックに対応しており、同サイト経由で更新するアプリに偽アプリが混入することはなく、危険を回避できるという。

またGoogleでは、製造メーカーにセキュリティ更新をリリースしており、順次アップデートが実施されるとの見通しを示した。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

ファイアウォール基盤「PAN-OS」に判明した脆弱性2件を修正 - Palo Alto
CrowdStrikeのWindows向け「Falconセンサー」に複数脆弱性
「Flowise」のRCE脆弱性 - 旧版に影響と説明
「Tenable Security Center」に脆弱性 - 権限外の操作が可能に
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「AWS Client VPN」に権限昇格の脆弱性 - macOS版のみ影響
IBMのアクセス管理製品に深刻な脆弱性 - アップデートを提供
「Nagios Log Server」に複数脆弱性 - 3月の更新で修正
「Chrome」にアップデート、脆弱性3件を修正
「Unity」ランタイムに脆弱性 - 利用アプリは要再ビルド