約半数のAndroidにマルウェア仕込まれる「TOCTTOU」の脆弱性

Androidにおいて、インストール時に正規アプリが改ざんされたり、マルウェアへ置き換えられる脆弱性が含まれていることがわかった。アプリの権限をチェックする時間が「隙」になっていたという。

米Palo Alto Networksが報告したもので、「Androidインストーラーハイジャック」の脆弱性は、アプリパッケージのインストール過程に含まれる。「Android 2.3」「同4.0.3」「同4.0.4」「同4.1.X」「同4.2.x」、および一部の「同4.3」に影響があり、全Androidユーザーのうち、49.5％に影響があると同社は分析している。

同社によれば、今回の脆弱性は、サードパーティのアプリストアよりダウンロードする場合にのみ影響があるという。Google Playからダウンロードする場合は、APKファイルを保護された領域に保存するため、攻撃は成立しない。

一方、サードパーティからダウンロードする場合、保護されていない領域を利用したり、直接インストールすることになるが、ダウンロードしてから、ユーザーがアプリの権限をチェックする際の時間差に「TOCTTOU（Time of Check to Time of Use）」の脆弱性が存在。その間にアプリを改ざんしたり、アプリを置き換えることが可能になるとしている。

脆弱性は、すでに「同4.4」で修正されている。また「同4.3_r0.9」も同様に対策済みだが、一部脆弱性が残っている端末もあり注意が必要だという。同社では、脆弱性をチェックできるアプリをGoogle Playに公開。またアプリをインストールする場合は、Google Playからダウンロードするなど、回避策を検討するよう呼びかけている。

（Security NEXT - 2015/03/26 ） ツイート

PR

関連記事

Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開
F5「BIG-IP」製品群に複数脆弱性 - DoSなどのおそれ
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正