Androidに深刻な脆弱性、正規アプリを不正アプリに更新されるおそれ - Google Play経由は安全、今後端末向けパッチも

米Bluebox Securityが公表したAndroidの脆弱性が注目を集めている。脆弱性を悪用することで、正規アプリを作者以外が作成したアプリで更新することが可能になるという。

Androidでは、アプリを更新する際に、同一の開発者が作成したアプリであることを署名により確認するが、署名がないソフトを署名が有効であるように処理してしまう脆弱性が存在するという。

本来、署名できるのは作者に限られ、作者以外は更新を提供できないしくみだが、脆弱性を悪用することで、更新と見せかけて不正アプリを配布するといった攻撃が可能となる。

今回の脆弱性は、7月3日にBluebox SecurityのCTOであるJeff Forristal氏が発表。一部端末を除き、Android 1.6以降でほぼすべての端末が影響を受けるとし、「99％の端末に影響がある」と指摘した。

同発表を受け、SymantecやTrend Microなど複数のセキュリティ企業も今回の脆弱性について言及している。

米Symantecは、今回見つかった脆弱性の実装はきわめて単純であると分析。正規アプリへ不正なコードを埋め込み、正規アプリに見せかけて配布することで、すでにユーザーから許可を得ている機能を悪用できると危険性を説明する。

さらに不正アプリに注意を払っているユーザーであっても、再パッケージ化された悪質なコードを含むアプリであるか判断するのが難しいと脆弱性が与える影響の大きさを説明している。

一方米Trend Microによれば、すでにGoogleでは、公式サイト「Google Play」において、今回の脆弱性を悪用する不正アプリのブロックに対応しており、同サイト経由で更新するアプリに偽アプリが混入することはなく、危険を回避できるという。

またGoogleでは、製造メーカーにセキュリティ更新をリリースしており、順次アップデートが実施されるとの見通しを示した。

（Security NEXT - 2013/07/12 ）ツイート