reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
IMG_2260.jpg
(画像引用:Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk - Bluebox Security

 米国のセキュリティベンダーBluebox Securityが7月29日、Android2.1以降に影響を与える重大な脆弱性を公表しました。

Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk - Bluebox Security


 Androidアプリは独自のIDを持っており、特別な権限をアプリに与える際、このIDをチェックしています。しかし、そのIDが正規のものかどうかまでチェックしていないため、不正にIDをコピーすることで正規のアプリを装うことができるそうです。Bluebox Securityはこの脆弱性を「Fake ID」と呼んでいます。
 
 
 Bluebox Securityのブログでは、「Adobe Systems」や「Google Wallet」、「3LM」などを例をあげていますが、これら正規のIDを偽装することで、悪意のあるアプリが正規のアプリに与えられた特権を得てNFCの決済データにアクセスしたり、デバイスの管理機能を乗っ取ったりする可能性を指摘しています。

 「Fake ID」脆弱性は2010年1月以降のすべてのAndroidのバージョン、つまりVer2.1から最新の4.4(KitKat)までが影響を受けます。
 
 Bluebox Securityはこの脆弱性を今年3月にGoogleに報告、4月には脆弱性の修正パッチが作成され、メーカーに提供されています。現在はメーカーやキャリアが各デバイスへの適用を進めているとのこと。


 ただし、Androidデバイスはメーカーやキャリアによるカスタマイズがあるため、個別のデバイスによって修正パッチ適用バージョンがリリースされる時期はまちまちです。また、機種によっては修正パッチ適用バージョンのリリースが見送られる可能性もありますし、そもそもサポート期間をすぎた機種の場合はリリースされない可能性が高いと考えられます。
 
 「Fake ID」脆弱性の悪用は今のところ確認されていませんが、いつ悪用されるかはわかりません。
 
 メーカーやキャリアの対応が待たれますが、利用者もアプリをインストールする前に説明等をよく読み、そのアプリが不正なものでないか確認するようにしましょう。

関連記事


Android OS 4.2未満の方は要注意! 現役機種が多数対象なので確認を! - I believe in technology
 2013年12月17日に公表された「JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性」ですが、現在でも利用されている可能性の高い機種が多数含まれているため、アップデートしていない方はとても危険な状態にあります。


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。