約半数のAndroidにマルウェア仕込まれる「TOCTTOU」の脆弱性
Androidにおいて、インストール時に正規アプリが改ざんされたり、マルウェアへ置き換えられる脆弱性が含まれていることがわかった。アプリの権限をチェックする時間が「隙」になっていたという。
米Palo Alto Networksが報告したもので、「Androidインストーラーハイジャック」の脆弱性は、アプリパッケージのインストール過程に含まれる。「Android 2.3」「同4.0.3」「同4.0.4」「同4.1.X」「同4.2.x」、および一部の「同4.3」に影響があり、全Androidユーザーのうち、49.5%に影響があると同社は分析している。
同社によれば、今回の脆弱性は、サードパーティのアプリストアよりダウンロードする場合にのみ影響があるという。Google Playからダウンロードする場合は、APKファイルを保護された領域に保存するため、攻撃は成立しない。
一方、サードパーティからダウンロードする場合、保護されていない領域を利用したり、直接インストールすることになるが、ダウンロードしてから、ユーザーがアプリの権限をチェックする際の時間差に「TOCTTOU(Time of Check to Time of Use)」の脆弱性が存在。その間にアプリを改ざんしたり、アプリを置き換えることが可能になるとしている。
脆弱性は、すでに「同4.4」で修正されている。また「同4.3_r0.9」も同様に対策済みだが、一部脆弱性が残っている端末もあり注意が必要だという。同社では、脆弱性をチェックできるアプリをGoogle Playに公開。またアプリをインストールする場合は、Google Playからダウンロードするなど、回避策を検討するよう呼びかけている。
(Security NEXT - 2015/03/26 )
ツイート
PR
関連記事
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
