--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2013.08.06 12:05|カテゴリ:Apps

「マスターキー」脆弱性を悪用したインターネットバンキングアプリ登場 今後も要注意


 以前、Android端末の99%が影響を受ける脆弱性が発見されたというエントリを書きましたが、やはりこの脆弱性を悪用したアプリが登場しました。しかも、たちが悪いことにインターネットバンキングアプリです。
 
 トレンドマイクロのブログによるとこのアプリは韓国でもっとも大きい金融機関のひとつ「NH Nonghyup Bank」のアプリを改ざんしたもの。
 
トロイの木馬化されたオンラインバンキングアプリ、「マスターキー」となるAndroid端末上の脆弱性を突く | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
この脆弱性は、サイバー犯罪者がユーザの Android端末に既にインストールされた正規のアプリを更新し、不正なコードを追加することを可能にします。弊社では、その後も継続してこの脆弱性を利用する脅威を注意深く監視していました。そして今回、韓国の銀行「NH Bank」のオンラインバンキングアプリのユーザを標的とした脅威を確認しました。


 以前のエントリでもお伝えしていますが、「マスターキー」脆弱性を悪用すると、アプリが正規のものであることを確認するための暗号署名を壊すことなくアプリを改ざんできます。そのため、同脆弱性を持つAndroid端末に改ざんされたアプリをインストールしても、改ざんを検知することができません。今回の不正アプリは、新規インストールはもちろん、すでに端末に正規のアプリがインストールされている場合は、不正なアプリに更新することも可能とのことなのでかなり危険です。
 
 Googleはいち早く対応し、Google Play上にはそのような改ざんが行われたアプリは公開される心配はなくなったのですが、今回の不正アプリはGoogle Play以外のアプリストアで配信されています。Google Play以外のアプリストアを利用する際はそのようなリスクがあることを念頭においておく必要があります。

 脆弱性公開後、端末ベンダーによっては脆弱性に対応したファームウェアを提供しているものの、すべてのベンダーが対応しているわけではありません。
 
 今回は韓国のインターネットバンキングアプリでしたが、今後、皆さんが使うアプリでも同様のことが行われる可能性があります。当面はGoogle Play以外からのインストールは避けるべきでしょう。
 
 また、この脆弱性を発見した「Bluebox Security」社が同脆弱性の有無および同脆弱性を悪用したアプリがインストールされていないかどうかを調べるアプリ「Bluebox Security Scanner」をGoogle Playで公開しているので、一度確認しておくといいでしょう。
 

 
 
 脆弱性があった場合は、端末ベンダーから対応版ファームウェアが提供されていないかどうか確認し、提供されていれば速やかに適用しましょう。
 

関連記事


怖くてAndroid使えません! 端末の99%が影響を受ける防ぎようのない脆弱性が発見される - I believe in technology
「Bluebox Security」のリサーチチームがAndroid端末の実に99%に影響がある脆弱性を発見したと発表しました。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。