Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Androidに深刻な脆弱性、正規アプリを不正アプリに更新されるおそれ - Google Play経由は安全、今後端末向けパッチも

米Bluebox Securityが公表したAndroidの脆弱性が注目を集めている。脆弱性を悪用することで、正規アプリを作者以外が作成したアプリで更新することが可能になるという。

Androidでは、アプリを更新する際に、同一の開発者が作成したアプリであることを署名により確認するが、署名がないソフトを署名が有効であるように処理してしまう脆弱性が存在するという。

本来、署名できるのは作者に限られ、作者以外は更新を提供できないしくみだが、脆弱性を悪用することで、更新と見せかけて不正アプリを配布するといった攻撃が可能となる。

今回の脆弱性は、7月3日にBluebox SecurityのCTOであるJeff Forristal氏が発表。一部端末を除き、Android 1.6以降でほぼすべての端末が影響を受けるとし、「99%の端末に影響がある」と指摘した。

同発表を受け、SymantecやTrend Microなど複数のセキュリティ企業も今回の脆弱性について言及している。

米Symantecは、今回見つかった脆弱性の実装はきわめて単純であると分析。正規アプリへ不正なコードを埋め込み、正規アプリに見せかけて配布することで、すでにユーザーから許可を得ている機能を悪用できると危険性を説明する。

さらに不正アプリに注意を払っているユーザーであっても、再パッケージ化された悪質なコードを含むアプリであるか判断するのが難しいと脆弱性が与える影響の大きさを説明している。

一方米Trend Microによれば、すでにGoogleでは、公式サイト「Google Play」において、今回の脆弱性を悪用する不正アプリのブロックに対応しており、同サイト経由で更新するアプリに偽アプリが混入することはなく、危険を回避できるという。

またGoogleでは、製造メーカーにセキュリティ更新をリリースしており、順次アップデートが実施されるとの見通しを示した。

(Security NEXT - 2013/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、5月の月例パッチで脆弱性55件を修正 - 3件が公開済み
「EC-CUBE」の無償診断サービスが緊急脆弱性に対応 - 痕跡調査も
「Citrix Workspace App」に権限昇格の脆弱性 - アップデートを公開
Adobe、13製品向けにセキュリティアップデートを公開
「Adobe Experience Manager」に深刻な脆弱性
「Adobe Experience Manager」に6件の脆弱性 - 修正版が公開
eコマースプラットフォーム「Magento」にセキュリティアップデート
「Adobe Acrobat/Reader」に14件の脆弱性、アップデートが公開 - すでにゼロデイ攻撃も
「Chrome 90.0.4430.212」が公開、セキュリティ関連で19件の修正
IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」