Androidオペレーティングシステムの脆弱性により、攻撃者は既存のアプリを取得し、悪意のあるコードを挿入し、元のアプリのふりをするような方法で再パッケージ化できます。 心配する必要がありますか?
BlueboxのCTOであるJeff Forristalは、7月3日のブログで、Bluebox Securityの研究者がアプリの暗号署名の検証方法に欠陥があることを発見しました。
この欠陥は、Android 1.6(「ドーナツ」)以来存在しており、デバイスの「99%」、または「過去4年間にリリースされたAndroidスマートフォン」を攻撃に対して脆弱にしている、とForristalは主張しています。
恐ろしいシナリオは次のようになります。正当なアプリ(たとえば、Googleアプリ)は、パスワードを盗んだり、デバイスをボットネットに接続したりして、ユーザーがダウンロードできるようにリリースされます。 両方のアプリは同じデジタル署名を持っているため、ユーザーはどちらが本物でどちらが偽物かを知ることは困難です。
まあ、そうでもない。
私は危険にさらされていますか?
GoogleはGoogle Playを更新し、このエクスプロイトを使用して他のアプリになりすまして悪意のあるアプリをブロックするチェックが行われるようにしました。
Google Playからアプリとアップデートをインストールする場合、Googleはアプリのマーケットプレイスを保護するための措置を講じているため、このエクスプロイトの危険はありません。 サードパーティのマーケットプレイスからアプリをダウンロードする場合、サムスンやアマゾンのアプリストアなどの半公式なマーケットプレイスでも、リスクがあります。 とりあえず、これらのマーケットプレイスの使用を控える価値があるかもしれません。
Googleでは、ユーザーがサードパーティのAndroidアプリ市場から離れることを推奨しています。
他に何ができますか?
また、開発者が誰であるかを常に確認する必要があることを忘れないでください。 トロイの木馬化されたアプリがGoogle Playで作成された場合、または別のアプリストアを使用している場合でも、そのアプリは元の開発者の下には表示されません。 たとえば、攻撃者がこの脆弱性を使用してAngry Birdsを再パッケージ化した場合、新しいバージョンはRovioのアカウントにリストされません。
サードパーティのソースからアプリをインストールできないようにする場合は、[設定]> [セキュリティ]に移動し、[不明なソース]からアプリをインストールするためのチェックボックスがオフになっていることを確認します。
最新バージョンのAndroidを使用している場合は、Google Play以外のソースから提供されたアプリをスキャンするため、組み込みのアプリスキャンシステムによっても保護されます。 つまり、誤って不適切なアプリをインストールした場合でも、お使いの携帯電話で悪意のあるコードがブロックされる可能性があります。
また、悪意のある動作を検出し、問題のアプリについて警告するAndroid用のセキュリティアプリもあります。 PCMagは、エディターズチョイスBitdefender Mobile Securityを推奨しています。
攻撃の可能性はありますか?
「「マスターキー」がまだ活用されていないからといって、栄光に身を任せることができるわけではありません」とWebrootのセキュリティインテリジェンスディレクター、グレイソンミルボーンは SecurityWatch に語りました。 モバイルセキュリティとは、デバイスをあらゆる側面から保護することです。パスワードやその他の個人情報を保護するための個人情報保護、マルウェアや悪意のあるアプリのブロック、紛失や盗難の際のデバイスの発見などが必要です。
Blueboxは2月にGoogleに欠陥を報告し、GoogleはすでにOpen Handset Allianceのハードウェアパートナーにパッチを公開しています。 いくつかの携帯電話メーカーは、この問題を修正するパッチをすでにリリースしています。 キャリアは、修正をエンドユーザーにプッシュする必要があります。
「モバイルデバイス用のファームウェア更新プログラム(およびユーザーがこれらの更新プログラムをインストールするための更新プログラム)を作成およびリリースするのは、デバイスメーカー次第です」とForristal氏は述べています。 Blueboxは、今月末にラスベガスで開催されるBlack Hatカンファレンスで詳細を明らかにする予定です。
Forensicsを介してモバイルセキュリティ会社のエンジニアであるPau Oliva Foraは、7月8日にgithubで脆弱性を悪用する概念実証を投稿しました。ForaはCyanogenmodチームが投稿したバグの詳細を読んでシェルスクリプトを作成しました。 Cyanogenmodは、ユーザーがデバイスにインストールできるAndroidの人気バージョンです。 チームはすでにこの欠陥を修正しています。
携帯通信会社からAndroidアップデートを受け取る幸運な少数のユーザーの中にいる場合は、すぐにダウンロードしてインストールしてください。 リスクが低い場合でも、OSの更新は単なるセキュリティ上の良識です。