Android端末のアプリ更新での設計上不具合、中国のユーザに影響か。個人情報収集の恐れも

トレンドマイクロでは、2014年4月、Android端末の設計上の不具合を確認しました。これにより、偽アプリは正規アプリの更新を乗っ取り、保存された情報を収集することが可能になります。この不具合は、中国のモバイルユーザの一般的な使い方に起因します。それは、SDカードといった外付記憶装置を利用して、ダウンロードした「Android application package(APK)」のファイルを格納することです。

中国のユーザは、一般的に、Google Play やサードパーティのアプリストアを経由せずに、直接アプリを更新します。こうした更新はアプリ内の更新機能を利用して実行され、アプリ関連企業や開発者は、ユーザに APKファイルのダウンロードおよびインストールを促すことで、アプリの更新版を配信します。しかし、この問題は一連の更新プロセスではなく、APKファイルが保存される場所に原因があります。

Android端末の多くは内部記憶装置を備え、大容量の外付記憶装置を選択できます。APKファイルのサイズを考えると、SDカードはダウンロードした APKファイルを一時保存するのに最適な保存場所となっています。

弊社の調査で、ダウンロードした APKファイルの保存先として SDカードのような外部記憶装置を利用する場合、アプリに不正な細工を施されやすいことが判明しました。例えば、不正なアプリが正規のアプリの更新を乗っ取り、攻撃者が管理できる別のバージョンを起動させるといったことが可能になります。狙われたアプリが、オンライン銀行のアプリなどの重要な情報を取り扱うものであった場合は、特に危険性が高くなります。

■便利さの代償として脅かされるセキュリティ
アプリを直接更新することは便利なように思えます。更新版が公開され次第、ユーザはすぐにそれを入手できるからです。しかし、今回の事例が示すように、セキュリティ面では、便利さの代償を払うことにもなりかねません。悪質なユーザは、脅威を拡散させるためにセキュリティチェックの甘さを利用する可能性があります。

アプリストアは、あるレベルまでの保護を保証します。例えば、Google Play では、ストア内で入手できるアプリの更新版の配信を管理しています。Google はその更新が正規のものかどうかを「Certificate check」を通じて確認します。しかし、セキュリティ面において、すべてのアプリストアが同様だとは限りません。サードパーティのアプリストアでは、公式なアプリストアに比べると、セキュリティチェックがそれほど厳格ではない可能性があります。実際、サイバー犯罪者が、不正アプリや高リスクアプリを配信するためにサードパーティのアプリストアを利用していることは頻繁にあります。

ユーザは、可能であれば、公式のアプリストアからアプリをダウンロードするようにして下さい。公式アプリストアが利用できず、サードパーティからアプリをダウンロードする際は、十分な注意を払って下さい。ダウンロードやインストールを行う前に、そのアプリを十分に調べて下さい。パーミッションにより、アプリが必要以上のアクセスをユーザに要求する可能性があります。モバイル機器に内蔵のセキュリティ機能を利用したり、セキュリティソフトをインストールすれば、こうした脅威に対してセキュリティを大幅に強化することができます。

本件に関し、弊社はすでに Google に報告しています。

参考記事:

  • Android App Update Flaw Affects China-Based Users
    by Harry Ding (Mobile Threat Response Engineer)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)