モバイル

Android端末の99%が影響を受ける「マスターキー」脆弱性を悪用した実例が登場


スマートフォンやタブレットなど、Android OSを搭載端末は世界で10億台近くが使われていますが、このうち99%が影響を受けるという脆弱性が悪用されている事例が確認されたと、シマンテックが報告しています。

Android の「マスターキー」脆弱性の悪用例を初めて確認 | Symantec Connect コミュニティ
http://www.symantec.com/connect/ja/blogs/android-18



Androidのアプリには「コードは正式な発行者が提供しているものです」と証明するデジタル署名が必要で、アプリを実行するときにも「このアプリはこういった権限を行使しますがOKですか?」と許可を求める仕組みになっています。しかし、このデジタル署名の情報を改竄することなく、正規アプリに悪質なコードを隠して、その正規アプリが取得した権限を通じて機能を実行できるようになるという脆弱性があることが7月上旬に明かされました。

Uncovering Android Master Key That Makes 99% of Devices Vulnerable » Bluebox Security
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/



この時点でシマンテックが調べたところ、脆弱性を悪用している例はなかったものの意図せずに利用しているアプリが多数存在。実装がきわめて単純で、しかもAndroid端末のうち99%、実に9億台近くに影響を与えるということで危険であることを呼びかけていましたが、残念ながら予測通りに登場してしまったというわけです。

シマンテックによると、この脆弱性を悪用されて悪質なコードを埋め込まれてしまったのは中国語ユーザー向けのアプリで、これまでに6つが確認されています。これらのアプリに隠された悪質なコードが実行されると、端末がリモート制御されたり、電話番号などの重要情報が盗難にあう恐れがあり、しかも、モバイルセキュリティアプリを無効化するとのこと。

アプリの一例


今のところ、まだ日本語ユーザーを狙ったものは出てきていないようですが、各端末メーカーやキャリアからパッチが出るには相当時間がかかるとみられています。

この記事のタイトルとURLをコピーする

・関連記事
無線LANのWPA/WPA2-PSKを総当たりで突破する「Pyrit」の実際の解析速度と自衛手段について - GIGAZINE

「HDMIやDVIの著作権保護に使われているHDCPは完全に崩壊している」と専門家が指摘 - GIGAZINE

AndroidスマホのロックがViberアプリを使って回避できてしまう欠陥が発見される - GIGAZINE

銀行の口座番号を抜き取るAndroidマルウェア「SMSZombie」が中国で50万台以上に感染 - GIGAZINE

コピーを20回繰り返すとクラッシュする不具合がSamsungのAndroid端末に存在 - GIGAZINE

in モバイル,   ソフトウェア, Posted by logc_nt

You can read the machine translated English article here.