Android端末の99％が影響を受ける「マスターキー」脆弱性を悪用した実例が登場

スマートフォンやタブレットなど、Android OSを搭載端末は世界で10億台近くが使われていますが、このうち99％が影響を受けるという脆弱性が悪用されている事例が確認されたと、シマンテックが報告しています。

Android の「マスターキー」脆弱性の悪用例を初めて確認 | Symantec Connect コミュニティ
http://www.symantec.com/connect/ja/blogs/android-18

Androidのアプリには「コードは正式な発行者が提供しているものです」と証明するデジタル署名が必要で、アプリを実行するときにも「このアプリはこういった権限を行使しますがOKですか？」と許可を求める仕組みになっています。しかし、このデジタル署名の情報を改竄することなく、正規アプリに悪質なコードを隠して、その正規アプリが取得した権限を通じて機能を実行できるようになるという脆弱性があることが7月上旬に明かされました。

Uncovering Android Master Key That Makes 99% of Devices Vulnerable » Bluebox Security
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/

この時点でシマンテックが調べたところ、脆弱性を悪用している例はなかったものの意図せずに利用しているアプリが多数存在。実装がきわめて単純で、しかもAndroid端末のうち99％、実に9億台近くに影響を与えるということで危険であることを呼びかけていましたが、残念ながら予測通りに登場してしまったというわけです。

シマンテックによると、この脆弱性を悪用されて悪質なコードを埋め込まれてしまったのは中国語ユーザー向けのアプリで、これまでに6つが確認されています。これらのアプリに隠された悪質なコードが実行されると、端末がリモート制御されたり、電話番号などの重要情報が盗難にあう恐れがあり、しかも、モバイルセキュリティアプリを無効化するとのこと。

アプリの一例

今のところ、まだ日本語ユーザーを狙ったものは出てきていないようですが、各端末メーカーやキャリアからパッチが出るには相当時間がかかるとみられています。