Androidの脆弱性問題、Googleは8月までに対処か

Googleは当初、90日以内にパッチを公開すると説明していたが、その期限は過ぎ、現時点では、Black Hatでの発表前に修正するという説明に変わっているという。

[鈴木聖子，ITmedia]

　GoogleのAndroidにアプリ改ざんに使われかねない脆弱性が発覚した問題で、米ラスベガスで開かれるBlack Hatカンファレンスで8月1日にこの脆弱性についての発表が行われることになった。Googleはそれまでにパッチをリリースして脆弱性を修正する見通しと伝えられている。

　この問題はセキュリティ企業の米Bluebox Securityが発見した。全てのAndroidアプリには、そのアプリが正規のものであることを確認するために暗号化署名が使われている。しかし今回見つかった脆弱性では、その署名を破ることなくAndroidアプリケーションパッケージ（APK）のコードを改ざんし、正規のアプリをマルウェアに変えることができてしまうとされる。

　セキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この問題を悪用すれば、特定ファイルについて同じ名前で無害なファイルと不正なファイルを作成し、無害な方のファイルで署名チェックを通過させておいて、端末に不正なファイルをロードすることができてしまうという。

　threatpostがBlueboxの最高技術責任者（CTO）の話として伝えたところでは、GoogleはBlueboxに対して当初、90日以内（6月上旬）をめどにパッチをリリースすると説明していた。しかし現時点では、8月1日のBlack Hatでの発表前にパッチを公開するという説明に変わっているという。

　この問題をめぐっては、Blueboxが7月3日のブログで概略を公表したことを皮切りに、他の研究者などからも詳しい情報の公表が相次ぎ、コンセプト実証コードの出現も伝えられている。

　Symantecの9日のブログによれば、この脆弱性が意図的に悪用されたケースは現時点では見つかっていない。しかし、意図せずこの問題を突く形になっているアプリが大量に存在するという。こうしたアプリは全て、広く普及している特定の開発ツールが使われており、このツールに不正なAPKファイルに起因するバグがあるようだとSymantecは指摘している。