Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布され全体の約86%は依然危険にさらされたまま
By nKauscher
IBMのアプリケーション・セキュリティの研究チームが、Androidアプリの秘密鍵と公開鍵のペアや公開鍵証明書を格納するためのリポジトリとして機能するデータベースであるKeyStoreに関する脆弱性を指摘しました。現在この脆弱性に対する修正パッチはAndroid 4.4向けにのみリリースされており、Android端末全体の86.4%が依然として危険にさらされたままとなっています。
Android KeyStore Stack Buffer Overflow
http://securityintelligence.com/android-keystore-stack-buffer-overflow-to-keep-things-simple-buffers-are-always-larger-than-needed/
Serious Android crypto key theft vulnerability affects 86% of devices | Ars Technica
http://arstechnica.com/security/2014/06/serious-android-crypto-key-theft-vulnerability-affects-86-of-devices/
IBMのアプリケーション・セキュリティの研究チームによると、KeyStoreの脆弱性をアタッカーが利用した場合、インターネットバンキングアプリなどの金銭を取り扱うアプリやVPN接続アプリ、クレジットカードやキャッシュカードを利用する際の識別番号であるPINコードを利用するアプリ、指紋認証機能など、さまざまなアプリから暗号化キーを入手可能になります。この脆弱性は開発時のバグによるもので、アタッカーはKeyStoreを使用するアプリ経由で暗号化キーを流出させるような悪質なコードを使用可能になっている、とのことです。
さらに、IBMのセキュリティアドバイザーは、「Googleはスタックベースのバッファオーバーフローに関する修復パッチを、Android 4.4向けにのみ配布した」コメントしており、4.4以外のOSバージョンを搭載したAndroid端末では依然としてKeyStoreの脆弱性が残されたままとなっていることも明かしています。
By marsmetn tallahassee
ただし、アタッカーがこの脆弱性を利用するにはいくつかの技術的なハードルがあるとのこと。Android OSはデータ実行防止やアドレス空間配置のランダム化などの最新のセキュリティ技術で守られており、これらはアタッカーが脆弱性を利用して悪意のある攻撃を仕掛けることを難しくしています。また、アタッカーが脆弱性を利用した攻撃を仕掛けるには、悪意のあるコードを含んだアプリを、Android 4.4以前のOSを搭載した端末にインストールさせる必要もあり、これらをクリアするのは簡単なことではないことも指摘されています。しかし、脆弱性はまだKeyStore上に存在しており、App StoreやGoogle Playのセキュリティレベルでは爆増&巧妙化したマルウェアから利用者を保護しきれない実態が明らかになっていることを考えると、Googleの修正パッチが一刻も早く公開されてほしいところです。
Ars Technicaがライス大学のコンピューターサイエンス学部で教授を務めるDan Wallach氏にこの脆弱性に関して意見を求めたところ、Wallach氏は「KeyStoreに脆弱性があると、他人の端末のアプリに他人のフリをしてログインしたり、ログイン情報なしでアプリの使用が可能になってしまうので、ログイン時にアカウント情報の入力をしつこく迫ってくるようなインターネットバンキングアプリでも簡単に利用されてしまう。また、携帯端末からVPNの電子証明書を盗まれてしまえば、ユーザーをインターネットに接続不能にすることも可能であり、この脆弱性を利用したさまざまな攻撃が予測される」とコメントしています。
「KeyStoreの脆弱性は他の脅威を生み出す可能性もある。この脆弱性を使ってサイバー犯罪者はAndroidというOSのリソース部分にアクセス可能なので、より影響度の高い暗号操作を行う可能性もある」と言うのはviaForensicsの上級セキュリティエンジニアであるPau Oliva氏。
By Daniel
なお、国内ではNTTドコモやauが一部の端末をAndroid 4.4にアップデートすることを告知しています。
2014/07/11 21:20追記
Androidアプリの暗号化キーに関する脆弱性がみられたのはAndroid 4.3だけであったようで、IBMのアプリケーション・セキュリティの研究チームが情報をアップデートしています。
・関連記事
Android端末の99%が影響を受ける「マスターキー」脆弱性を悪用した実例が登場 - GIGAZINE
App StoreやGoogle Playのセキュリティレベルでは爆増&巧妙化したマルウェアから利用者を保護しきれない実態が明らかに - GIGAZINE
Android端末にカメラの映像を盗み見られるセキュリティホールが存在 - GIGAZINE
MacBookのウェブカメラは盗撮されている可能性があると研究で判明 - GIGAZINE
女性が男性をウェブカメラの前で裸にして映像をネタに脅迫する事例が多発 - GIGAZINE
知らずにインストールしてしまいそうな偽物アプリの存在から明らかになるApp Storeの脆弱さ - GIGAZINE
・関連コンテンツ