セキュリティー企業Bluebox Securityによって公表された「マスターキー」と呼ばれるAndroidの脆弱性が話題を呼んでいる。

Androidでは、アプリのパッケージファイルにデジタル署名が含まれており、インストール済みのアプリには同じ鍵で署名されたパッケージからしか上書きインストール出来ないはずなのだが、この脆弱性を利用すると正規の鍵を持たない第三者が改竄したアプリも署名のチェックを回避して上書きインストールできてしまうというのだ。
Blueboxによって公開されたサンプルコードによると、アプリのパッケージファイル内に全く同じファイル名のファイルが複数格納されていた場合に、署名と照合されるファイルと実際にインストールされるファイルが異なってしまうのが原因らしい。

この脆弱性の恐ろしいところは、端末にプリインストールされたシステムアプリにも有害アプリを上書きできてしまうところだ。
プリインストールアプリに成りすませば、通常のアプリからは利用できない重要な機能も悪用し放題になってしまう。
この脆弱性は2月にGoogleに報告済みで、そのうち修正パッチが提供されるはずとのことだが、未修正の機種も多い模様。

とは言え、ユーザーがインストール操作を行なわなければ侵入できないのは通常の有害アプリと同じなので、端末の使用を控えるなど、過度に心配する必要はないだろう。
怪しいアプリはインストールしないように十分に注意しておこう。

・Uncovering Android Master Key That Makes 99% of Devices Vulnerable ? Bluebox Security

・Quick & dirty PoC for Android bug 8219321 discovered by BlueboxSec

Blueboxからは、端末にパッチが適用されているかをチェックできる「Bluebox Security Scanner」が公開されているので、気になる人は試してみよう。インストールして起動すると、修正済みなら「Patched」、未修正なら「Unpatched/vulnerable」と表示されるぞ。
・Bluebox Security Scanner – Android Apps on Google Play

この脆弱性の影響を受けるのは、主に「提供元不明の
プリ」を許可してAPKファイルからインストールを行なう場合だ。
初めてインストールするはずのアプリなのに、インストールの確認画面で既存のアプリへの上書きインストールの問い合わせが表示されたら特に要注意。既存のアプリを上書きして乗っ取ろうとする有害アプリの可能性があるぞ。

この脆弱性を利用したものでなくても、有害なアプリの可能性はあるので、不審なアプリはインストールしないように十分に注意しよう。

Playストアの場合、同じ識別名のアプリは登録できないので、正規のアプリが登録済みならば、改竄されたアプリが公開される恐れは無い。
しかし、プリインストールアプリには開発元がPlayストアに登録していない物もあるので注意が必要だ。この場合、他人が勝手に改竄済みアプリを同じ識別名でアップロードできてしまう可能性がある。
また、Playストアに登録せず野良アプリとして公開されているアプリも、他人が同じ識別名のアプリを公開できてしまう。(偶然識別名が重なる場合もある)
Playストアでは、自動更新や「すべて更新」は使わず、手動でバージョンアップを行なうようにするといいだろう。Playストアからインストールした覚えのないアプリの更新があった場合は、正規の開発元が公開したものかをよく確認しよう。