Android「マスターキー脆弱性」が端末に存在するか確認できる無料アプリ - 悪用アプリも検知可能
Android端末に、正規アプリの更新に見せかけた改ざんアプリがインストール可能となる脆弱性が判明した問題で、セキュリティベンダーが端末の脆弱性をチェックできるアプリを公開している。
問題の脆弱性は、アプリの署名処理に存在するもので、一部専門家からは「マスターキー脆弱性」などとも呼ばれており、Android 1.6以降を搭載した9割以上の端末が影響を受けるとされている。
本来、アプリの更新を配布する際は作者が署名する必要があるが、脆弱性を悪用することで、作者以外の第三者が改変したアプリを、正規アプリの更新と見せかけて配布することが可能となる。
脆弱性を公表したBluebox Securityでは、脆弱性の影響を受けるか確認するための無料アプリ「Bluebox Security Scanner」を公開。同アプリでは、端末に対して脆弱性を修正するパッチが適用されているか確認することができるという。
さらに同脆弱性を悪用するアプリが端末内にインストールされているか確認することも可能。英語版のみだが、Google PlayとAmazon AppStoreを通じて配布している。
またSymantecでも、脆弱性を悪用するアプリを検査、警告する無料アプリ「Norton Halt exploit defender」を用意した。
今回見つかった脆弱性のほか、トロイの木馬やスクリーンロックのバイパス、USSDコード攻撃などを検知できるという。こちらも英語版のみだが、Google Playより無料でダウンロードできる。
(Security NEXT - 2013/07/26 )
ツイート
関連リンク
PR
関連記事
「Firefox 136」がリリース - ESR版では「クリティカル」脆弱性を修正
「Android」の3月パッチが公開 - ゼロデイ脆弱性2件に対応
「Android」に複数脆弱性を修正するアップデート - 一部で悪用の兆候
米当局、Linuxカーネルや「VMware ESXi」の脆弱性悪用に注意喚起
先週注目された記事(2025年2月2日〜2025年2月8日)
Linuxカーネルの脆弱性に対する攻撃が発生 - 米当局が注意喚起
「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
Androidアプリ開発者向けセキュリティガイドに改訂版 - JSSEC
4Qの「JVN iPedia」登録は6894件 - 「NVD」公開遅延で減少
Mozilla、最新版ブラウザ「Firefox 134」を公開 - 複数の脆弱性を修正