99%の Android端末に影響する脆弱性 – トレンドマイクロ製品、既に対応

2013年7月3日(米国時間)、米国のモバイルセキュリティ企業が Android端末上に存在する脆弱性を確認したと発表。これによると、確認された脆弱性により、インストールされたアプリは、ユーザに気付かれることなく改変される恐れがあります。問題の脆弱性は Android のバージョン1.6(Donut)以降の端末に存在するため、ほぼすべての Adnroid端末が影響を受けることになります。現在、「Samsung Galaxy S4」のみ、この脆弱性に対するパッチが施されています。

この脆弱性は、「マスターキー」となる脆弱性として一部報道されており、メディアから非常に注目されています。しかし、必ずしも正確に報道されているとは限りません。トレンドマイクロは、この脆弱性による脅威からユーザを保護するために「ウイルスバスター モバイル for Android」「Trend Micro Mobile Security」を更新しました。そして、今回、問題の脆弱性がどのようなものであるか、この脆弱性による脅威は何であるか、ユーザはどのようにすべきか、本ブログを通じて説明します。

■「マスターキー」と呼ばれる、この脆弱性はどのようなものですか
この脆弱性は、Android端末用アプリの暗号化署名に関連しています。Android端末のアプリはどれも各デベロッパーのデジタル署名が付与されており、該当アプリが正規のデベロッパーから提供されたもので、何らかの不正な細工が施されていないことを保証します。そして、そのアプリが更新される際、同じデベロッパーから発行された署名と照合して合致した場合のみ新しいバージョンに更新されることになります。このアプリの署名を有効にするためには別に「署名キー」が必要です。署名キーはそのデベロッパーのみが保持するものであり、他者ではオリジナルの署名を有効にすることはできません。これまでも攻撃者が正規アプリ内に不正モジュールを組み込む改変を行う事例がありましたが、正規の署名を有効にできないため、既にインストールされている正規アプリを更新することはできませんでした。

問題の脆弱性は、この署名を有効化する最後の段階に存在します。上述の米モバイルセキュリティ企業は、インストールされているアプリのデベロッパーによる署名キーがなくても、攻撃者がそのアプリを改変すると同時にオリジナルの署名が有効であるかのように更新できる「抜け道」を確認したのです。この抜け道である脆弱性により、インストールされたアプリはどれも、改変された不正なバージョンに更新されてしまう恐れがあります。

なお、厳密には、どのデベロッパーの署名でも有効にできる「マスターキー」のようなものが存在するわけではありません。この脆弱性が突かれると、どのアプリも改変され不正目的のために悪用される恐れがありますが、それは「マスターキー」ということではありません。

■この脆弱性によりどのような危険にさらされますか
この脆弱性が利用されることで、Android端末の正規アプリが多くのパーミッションを要求する不正なアプリに置き換えられる恐れがあります。不正なアプリが要求するパーミッションは、端末の製造企業やサービスプロバイダが必要とするもので、こうしたパーミッションを要求するアプリが危険にさらされていると言えるでしょう。

一旦不正なアプリに置き換えられると、他の不正なアプリと同じ振る舞いを実行します。ただ、ユーザは、完全に正規アプリを使用していると信じて疑わないでしょう。例えば、銀行に関連する改変されたアプリやトロイの木馬化したアプリは、通常の機能を維持してユーザはこれまでどおりに使うことができますが、その裏では、実は、個人情報がサイバー犯罪者に送られていることになっています。

■今回の脅威からどのように守ることができますか
Google は、ユーザ保護に向けて対応を進めています。オンラインストアのバックエンドを更新し、この問題を悪用しようとするアプリがブロックされます。これにより、正規マーケットである「Google Play」からのみアプリを入手するユーザは、この脅威からのリスクにさらされることはないでしょう。また、同社は、この脆弱性に対するセキュリティ更新をリリースして、Android端末を製造する各企業へ配信しており、順次アップデートが行われるでしょう。

ご使用の端末でこの脆弱性への対処が行われるまで、ユーザは、「Google Play」以外からアプリをインストールする機能を無効にすることを強く推奨します。この設定は、Android端末の「システム設定」>セキュリティで調整することができます。また、脆弱性のアップデートが行われたとしても、アプリは信用できるマーケットからのみ入手し、決してインターネット上の不審なサイトなどから入手しないようにしてください。

トレンドマイクロは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つであるモバイルアプリケーション評価技術「Trend Micro Mobile App Reputation」で、問題の脆弱性を突くアプリを検出対応しています。ただし現時点ではまだ、関連する不正なアプリは確認されていません。言うまでもなく、弊社製品をご利用のお客様は、「ウイルスバスター モバイル for Android」「Trend Micro Mobile Security」により守られています。

参考記事:

  • Android Vulnerability Affects 99% of Devices – Trend Micro Users Protected
     by Jonathan Leopando (Technical Communications)

    •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2012年第1四半期のセキュリティ動向を振り返る: キーワードは「モバイル」
    2. 2012年第2四半期のセキュリティ動向を振り返る:キーワードは「パーソナル」
    3. 2012年のセキュリティ動向を振り返る:「ポストPC」時代に進化する脅威
    4. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」