Androidアプリの乗っ取り許す脆弱性、修正パッチ提供までに時間も

　市場に出回る99％のAndroid端末に影響する深刻な脆弱性が見つかった件で株式会社シマンテックは10日、同社が情報収集する400万件のアプリのうち、この脆弱性を意図して悪用しているものはまだ確認されていないと報告した。ただし、脆弱性を意図せずに利用してしまっているアプリは多数発見されているという。

　「これらのアプリは、広く普及しているビルドツールチェーンを使ってビルドされており、そこに存在するバグのために不正なAPKファイルが生成されている可能性がある。悪いことに、この脆弱性はAndroidデバイスの99％に影響し、デバイスのメーカーやキャリア各社からパッチが提供されるとしても、それには時間がかかりそうだ。」（シマンテック）

　脆弱性は米セキュリティ企業のBluebox Securityが発見したもの。悪用されると、攻撃者は「デジタル署名」を無効化せずに、正規のアプリを改変できる。トレンドマイクロ株式会社によれば、脆弱性はAndroid 1.6以降に影響し、現時点で修正パッチが施されているのは「Samsung Galaxy S4」のみだという。

デジタル署名に「抜け道」、アプリが乗っ取られる恐れ

　脆弱性は、Androidアプリのコードが改変されていないことを証明し、正式なデベロッパーから提供されていることを保証する「デジタル署名」に関連するもの。アプリが更新される際には、同じデベロッパーから発行された署名と照合して合致した場合のみ新しいバージョンに更新される。アプリの署名を有効にするためには、別にそのデベロッパーのみが保持する「署名キー」が必要となる。

　正規のアプリに悪質なコードを書き込む手口は以前から常用されていたが、従来はアプリと発行者の名前を両方とも改ざんし、トロイの木馬を仕掛けたアプリにも独自のデジタル署名を付ける必要があった。そのため、シマンテックでは「アプリの詳細を調べれば、正規の発行者が作成したものではないことがすぐにわかった」としている。

　これに対して今回見つかった脆弱性は、インストールされているアプリのデベロッパーによる署名キーがなくても、攻撃者がそのアプリを改変すると同時にオリジナルの署名が有効であるかのように更新できる「抜け道」が見つかったと、前述のBluebox Securityは指摘する。この抜け道である脆弱性により、インストールされたアプリが乗っ取られ、改変された不正なバージョンに更新されてしまう恐れがあるとしている。

当面の対策はGoogle Play以外からインストールする機能の無効化

　いったん不正なアプリに置き換えられると、他の不正なアプリと同じ振る舞いを実行するが、トレンドマイクロによれば「ユーザーは、完全に正規アプリを使用していると信じて疑わない」という。「例えば、銀行に関連する改変されたアプリやトロイの木馬化したアプリは、通常の機能を維持してユーザーはこれまでどおりに使うことができるが、その裏では、実は、個人情報がサイバー犯罪者に送られていることになっている」。

　トレンドマイクロは、正規のアプリマーケットである「Google Play」からのみアプリを入手するユーザーは、この脅威からのリスクにさらされることはないと説明。また、Googleは脆弱性に対するセキュリティ更新をリリースし、Android端末の各メーカーに配信しているといい、順次アップデートが行われるとみている。ユーザーが使う端末で脆弱性に対処するまでは、Google Play以外からアプリをインストールする機能を無効にすることを強く推奨している。