reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 アメリカのセキュリティベンダー「Bluebox Security」のリサーチチームがAndroid端末の実に99%に影響がある脆弱性を発見したと発表しました。

Uncovering Android Master Key That Makes 99% of Devices Vulnerable » Bluebox Security
The Bluebox Security research team – Bluebox Labs – recently discovered a vulnerability in Android’s security model that allows a hacker to modify APK code without breaking an application’s cryptographic signature, to turn any legitimate application into a malicious Trojan, completely unnoticed by the app store, the phone, or the end user.


 この脆弱性は、Androidのセキュリティモデルに存在し、これを悪用することで正規のAndroidアプリを改ざんしても、正規のアプリであるかのように見せかけることができます。
 
 Androidアプリは、そのアプリが正規のものであることを確認するため、暗号署名を用いています。アプリを改ざんすると通常はこの暗号署名が壊れるため、改ざんに気づくことができます。
 
 しかし、今回発見された脆弱性を悪用するとアプリの暗号署名を壊すことなく改ざんができるため、たとえば正規のアプリに悪質なマルウェアを仕込んでも、Google Play上でも、ダウンロードした端末上でも正規のアプリと認識されてしまうのです。
 
 記事では、改ざんしたとされるHTCの電話アプリのスクリーンショットが掲載されています。

 
 
 よく見ると、「Baseband Version」の文字列中に「Bluebox」の文字が含まれているのがわかります。Google Play上のアプリだけでなく、「電話」や「メール」、「ブラウザ」のような正規のアプリまでもが知らないうちに置き換えられてしまうとしたら、これはとても恐ろしいことです。 
 
 「Bluebox Security」によると、この影響は過去4年間に発売された9億台ものAndroid端末に影響する可能性があるとしています。

 もちろん、この脆弱性は2013年2月にGoogleに報告しているとのことですが、修正するファームウェアアップデートを提供するかどうかは端末のメーカー次第です。
 
 4年間の間に提供されたAndroidの中にはすでにサポートが切れているものも多く、仮にサポート期間中でもアップデートモジュールが提供されない機種も少なくありません。

 しばらくの間は、アプリのアップデートですら気をつける必要がありそうです。念のため、アプリの自動更新は外した方がいいのかもしれません。

関連記事


Google Playに溢れる不正アプリ マカフィー、シマンテックはアプリ名を晒し、トレンドマイクロはアプリ名を隠し警告 : I believe in technology
それだけに、トレンドマイクロ社が他のベンダーのように不正なアプリの早期削除という公共の利益に貢献せず、アプリ名、開発者名を隠し、おそらくはGoogleに連絡することなく放置したことが残念でなりません。(連絡していたら3日間もGoogle Playには残ってないでしょう?)


Galaxy S4に深刻な脆弱性があることを中国のセキュリティ会社が公表 : I believe in technology
NTTドコモがツートップとして販売しているGalaxy S4に深刻な脆弱性があると中国のセキュリティベンダー「Qihoo360」が同社のFacebookで発表しています。


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。