プリインアプリを不正アプリで上書きできてしまう「マスターキー」脆弱性とは!?
セキュリティー企業Bluebox Securityによって公表された「マスターキー」と呼ばれるAndroidの脆弱性が話題を呼んでいる。
Androidでは、アプリのパッケージファイルにデジタル署名が含まれており、インストール済みのアプリには同じ鍵で署名されたパッケージからしか上書きインストール出来ないはずなのだが、この脆弱性を利用すると正規の鍵を持たない第三者が改竄したアプリも署名のチェックを回避して上書きインストールできてしまうというのだ。
Blueboxによって公開されたサンプルコードによると、アプリのパッケージファイル内に全く同じファイル名のファイルが複数格納されていた場合に、署名と照合されるファイルと実際にインストールされるファイルが異なってしまうのが原因らしい。
この脆弱性の恐ろしいところは、端末にプリインストールされたシステムアプリにも有害アプリを上書きできてしまうところだ。
プリインストールアプリに成りすませば、通常のアプリからは利用できない重要な機能も悪用し放題になってしまう。
この脆弱性は2月にGoogleに報告済みで、そのうち修正パッチが提供されるはずとのことだが、未修正の機種も多い模様。
とは言え、ユーザーがインストール操作を行なわなければ侵入できないのは通常の有害アプリと同じなので、端末の使用を控えるなど、過度に心配する必要はないだろう。
怪しいアプリはインストールしないように十分に注意しておこう。
・Uncovering Android Master Key That Makes 99% of Devices Vulnerable ? Bluebox Security
・Quick & dirty PoC for Android bug 8219321 discovered by BlueboxSec
Blueboxからは、端末にパッチが適用されているかをチェックできる「Bluebox Security Scanner」が公開されているので、気になる人は試してみよう。インストールして起動すると、修正済みなら「Patched」、未修正なら「Unpatched/vulnerable」と表示されるぞ。
・Bluebox Security Scanner – Android Apps on Google Play
この脆弱性の影響を受けるのは、主に「提供元不明の
プリ」を許可してAPKファイルからインストールを行なう場合だ。
初めてインストールするはずのアプリなのに、インストールの確認画面で既存のアプリへの上書きインストールの問い合わせが表示されたら特に要注意。既存のアプリを上書きして乗っ取ろうとする有害アプリの可能性があるぞ。
この脆弱性を利用したものでなくても、有害なアプリの可能性はあるので、不審なアプリはインストールしないように十分に注意しよう。
Playストアの場合、同じ識別名のアプリは登録できないので、正規のアプリが登録済みならば、改竄されたアプリが公開される恐れは無い。
しかし、プリインストールアプリには開発元がPlayストアに登録していない物もあるので注意が必要だ。この場合、他人が勝手に改竄済みアプリを同じ識別名でアップロードできてしまう可能性がある。
また、Playストアに登録せず野良アプリとして公開されているアプリも、他人が同じ識別名のアプリを公開できてしまう。(偶然識別名が重なる場合もある)
Playストアでは、自動更新や「すべて更新」は使わず、手動でバージョンアップを行なうようにするといいだろう。Playストアからインストールした覚えのないアプリの更新があった場合は、正規の開発元が公開したものかをよく確認しよう。
関連記事
au「HTC EVO 3D WiMAX ISW12HT」「HTC EVO WiMAX ISW11HT」の脆弱性を解消するアップデート
「ES ファイルエクスプローラ」で動画視聴中に外部からSDカードの内容を閲覧できてしまう脆弱性が修正
Android4.1以降に権限を持たないアプリでも電話を掛けられる脆弱性
バージョン5.0未満のAndroidにシステム権限で任意のコードを実行できる脆弱性
細工されたアプリでAndroidがクラッシュし起動不能に陥る恐れもある脆弱性が発見される
不正アプリがGoogleアカウントの機能利用許可を悪用してアプリを自動インストールする事例が発生
Android 4.3以前のWebViewの脆弱性はもう修正されない!?
旧機種のAndroid標準ブラウザに深刻な脆弱性!auの4機種以外は修正済み
au、新規アプリの追加インストールを禁止できる「安心アプリ制限」の提供を開始
2013年07月13日20時10分 公開 | カテゴリー: セキュリティ | キーワード:ニュース | Short URL
ツイート
最新記事
- 超スリムで持ち運びも簡単!ノートPCを最適な角度に出来るスタンド!
- ボタン1つで締めるも緩めるも手軽に!シンプル操作で高精度作業!
- 最大8台同時充電可能!スマホスタンド付きの電源タップ!
- 一台6役の猫足型電源タップ!コンセントもUSBポートもこれ一台!
- 5個のコンセントと4つのUSBポート!コンパクトなのにたくさん使える電源タップ!
- 一台6役で干渉しにくい延長コード!コンセントもUSBもこれ一台!
- 4つの機能を1台に!ワイヤレス充電機能等がついた高機能空気清浄機!
- 車内空間を短時間でリフレッシュ!高性能HEPAフィルター搭載!
- ウイルスも花粉もきれいに!車内の空気を清浄化!
- ドリンクホルダー付きスマホホルダー!マップアプリ利用に最適!
- 電子アクセサリーをまとめて収納!ダブルファスナーで超大容量!
- 日常の持ち運びを簡単に!イヤホンやケーブルを入れて持ち運べるオーガナイザーポーチ!
- 目を合わせて会話が楽しめる!高さ調整可能なスマホスタンド!
- 安定性の高いスマホホルダー!より快適なカーライフを!
- 自動開閉で置くのも簡単!ワイヤレス充電機能付きの車載スマホスタンド!
- エアコン吹き出し口・吸盤両用一体型のFMトランスミッター車載ホルダー!音楽を聴きながらナビ利用可能!
- 7色LEDライトでカラフル&便利に使えるFMトランスミッター!スマホの急速充電も!
- 時間の確認ができる静電気除去ブレスレット!大人から子どもまで使いやすい!
- こだわりのFMトランスミッター!大画面搭載で操作しやすい!
- 35000mAhで3台同時充電出来るモバイルバッテリー!PD20W&SCP22.5Wの両対応!
- Bluetooth5.0搭載の使いやすいMP3プレーヤー!イヤホンやスピーカーにワイヤレスでも有線でも接続可能!
- 大容量バッテリーで最大115時間連続録音可能なボイスレコーダー!最先端のノイズキャンセリング技術搭載!
- 挿すだけで充電開始!小さくて持ち運びにも便利なモバイルバッテリー!
- 高音質ヘッドホン付きのVRゴーグル!軽くて装着感も抜群!
- Bluetooth5.3搭載で高音質のヘッドセット!無線にも有線にも両対応!
- 自宅でも外出先でも!ボディケアをもっと自由にできる筋膜リリースガン!
- 絡まりにくい独自ケーブル!ストラップ付きで収納にも便利!
- 他に類を見ない洗練されたデザイン!超ロングケーブルで部屋中どこでも使える!
- これから必要になるケーブルはこれ!ユニークな2-in-1 デュアルコネクターヘッドケーブル!
- ヴィーガンレザーで肌触り良好!カード管理を便利にするMagSafe対応カードケース!