Android のきわめて深刻な脆弱性が、Black Hat カンファレンスで予定されている報告を前にして公開されました。この脆弱性を利用すると、攻撃者はデジタル署名を無効化することなく、正規のアプリに悪質なコードをインジェクトできます。
Android アプリにはデジタル署名が必要です。デジタル署名は、アプリ内のコードが改変されていないことを証明し、コードが正式な発行者から提供されたものであることも保証します。また、Android ではアプリごとの許可システムが採用されているので、重要なタスクを実行するには、許可を求めて承認されなければなりません。デジタル署名が、アプリやそれに伴う許可の乗っ取りを防いでいるということです。
今回の深刻な脆弱性を悪用すると、攻撃者は正規のアプリ内にコードを隠して既存の許可を利用することで、アプリを通じて重要な機能を実行できるようになります。この脆弱性について詳しくはオンラインですでに公開されていますが、実装はきわめて単純です。
正規のアプリに悪質なコードをインジェクトするのは、悪質なアプリの作成者がしばらく前から常用している手口ですが、以前は、アプリと発行者の名前を両方とも改ざんし、トロイの木馬を仕掛けたアプリにも独自のデジタル署名を付ける必要がありました。アプリの詳細を調べれば、そのアプリが正規の発行者によって作成されたものではないことがすぐにわかったのです。ところが、今や攻撃者はデジタル署名の詳細情報を改ざんする必要がなく、正規のアプリを自在に乗っ取れるようになってしまいました。しかも、目ざといユーザーでさえ、アプリが悪質なコードを使って再パッケージ化されたものかどうかを判別できなくなっています。
シマンテックは、この脆弱性に関する検出ロジックをバックエンドのノートン モバイルインサイトシステムにすでに追加していますが、400 万件のアプリのうち、この脆弱性を意図して悪用しているものはまだ確認されていません。ただし、この脆弱性を意図せずに利用してしまっているアプリは多数発見されています。これらのアプリは、広く普及しているビルドツールチェーンを使ってビルドされており、そこに存在するバグのために不正な APK ファイルが生成されている可能性があります。悪いことに、この脆弱性は Android デバイスの 99% に影響し、デバイスのメーカーやキャリア各社からパッチが提供されるとしても、それには時間が掛かりそうです。
この脆弱性を悪用する悪質なアプリが見つかった場合でも、ノートン モバイルセキュリティをインストールすることでデバイスを保護することができます。インストール後は、ノートン モバイルセキュリティが定期的に自身を更新するので、今回の脆弱性に対しても今後見つかった脆弱性に対しても、保護対策は継続的に強化されます。
この脆弱性を発見した Bluebox Security 社に謝意を表します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。