Android OSに脆弱性、アプリインストールを乗っ取る恐れ

一見安全に見えるAndroidアプリケーションがインストールの過程で改ざんされたり、マルウェアに入れ替えられたりする恐れがあるという。

» 2015年03月25日 07時55分 公開
[鈴木聖子ITmedia]

 米GoogleのAndroid OSに、一見安全に見えるAndroidアプリケーションがインストールの過程で改ざんされたりマルウェアに入れ替えられたりする恐れのある脆弱性が発見され、米セキュリティ機関のUS-CERTが3月24日に注意を呼び掛けた。

 この脆弱性はセキュリティ企業のPalo Alto Networksが同日のブログで明らかにしたもので、同社は「Androidインストーラ乗っ取り」と命名。2015年3月現在でAndroidユーザーの49.5%が影響を受けると推定している。

 Palo Alto Networksによると、攻撃者がこの問題を悪用すれば、Android APKのインストールプロセスを乗っ取ることが可能になる。例えば正規の「Angry Birds」をインストールしようとしたユーザーが、マルウェアを仕込んだ別のアプリをインストールさせられ、知らないうちにデータにアクセスされたり盗まれたりする恐れがあるという。

 脆弱性はAndroid 2.3、4.0.3〜4.0.4、4.1.x、4.2.xで悪用できることを確認したほか、Android 4.3も影響を受ける可能性があるとしている。Android 4.4以降で問題が修正された。

 影響を受けるのは、Google以外の企業などが運営するサードパーティーアプリストアからダウンロードしたアプリケーションのみ。Palo Alto Networksは2014年1月にこの脆弱性を発見し、GoogleのほかSamsung、Amazonなどの主要メーカーに連絡してパッチ開発に協力してきたという。

US-CERTの注意喚起

 GoogleのAndroidセキュリティチームでは、ユーザーの端末に対してこの脆弱性の悪用を試みる動きは確認されていないと説明。US-CERTでは、サードパーティーのアプリストアからソフトウェアをインストールする際は注意するよう呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ