「Web版Android Marketはセキュリティリスクを高める」 専門家が警告

[Brian Prince，eWEEK]

　米Googleが運営するアプリストア「Android Market」のWebブラウザ版をめぐり、一部のセキュリティベンダーは、ハッカーに攻撃のチャンスを与えることになるとの問題を提起している。

　Googleは先ごろ、Androidデバイスの所有者がデスクトップPCからWebを介して携帯端末向けのアプリケーションを検索、購入、インストールできる新バージョンのアプリストアを立ち上げた。ユーザーは自分のGoogleアカウントにログインするだけで、このアプリストアを利用できる。

　この機能はユーザーの利便性を考えて用意されたものだが、一部の向きからは、この機能はGoogleアカウントが侵害された場合のリスクを高めることになるとの警告の声があがっている。

　「強力なパスワードを作る理由が1つ増えるだけだ。ユーザーは自分のアカウントと端末へのアクセスにますます注意を払わなければならなくなる」とKaspersky Labのシニアマルウェアアナリスト、デニス・マスレニコフ氏はブログで指摘している。

　「スマートフォンがインターネットに接続している状態であれば、端末の画面でインストールが既に始まっていることにすぐに気付くだろう。なぜこれが問題かと言えば、携帯端末でストアからアプリをインストールするのであれば、要求されるすべての許可に同意していかなければ、アプリは携帯端末にインストールされないからだ」と同氏。

　「この新しいバージョンのAndroid Marketでは、そうした許可はAndroid MarketのWebインタフェース内のアプリページにしか表示されない。それらの許可に同意すると、携帯端末上に通知が出ることなくアプリがインストールされてしまう」とさらに同氏は続けている。

　ただし、盗んだGoogleアカウントを使用して悪質なアプリを購入し、誰かの端末にインストールしようとした場合には、幾つかのハードルに直面することになる。例えば、攻撃者による新しい手法への対抗手段として、購入されたアプリはユーザーの端末のアプリ一覧に表示され、ユーザーが開かなければ実行されないようになっている。

　もっとも、たとえユーザーが自分の端末に見慣れないアプリがあることに気付いたとしても、「フリー」という文字を含むアプリは実行される可能性が高い、とKaspersky Labの上級マルウェア研究員、ロエル・ショウエンバーグ氏は指摘する。

　「あるいは、ある種のローカルコード実行を許す脆弱性がAndroidで見つかる可能性もある。この脆弱性はそれ自体のリスクは低いが、今回の新しい機能と組み合わせれば、事実上、リモートコード実行に変わる」と同氏は言う。

　Googleの広報担当者は、この問題はGoogleアカウントのセキュリティが侵害されていることを前提とした理論上の脅威だと述べている。またこの広報担当者によれば、同社は例えば、ChromeとGmailにフィッシング詐欺やマルウェアの検出機能を搭載したり、GmailでHTTPSをデフォルトにしたりなど、さまざまな戦略を組み合わせることでこうしたリスクの軽減に注力しているという。

　「この方法が活発に利用されているという兆候は何ら認められていない。当社のポリシーに違反するアプリや開発者に対しては、われわれはいつものごとく、迅速な措置を講じる」とさらに広報担当者は続けている。

　「それでも、Googleはなるべく早くリモートインストールの方法に変更を加えるべきだ」とセキュリティ企業Sophosのウイルス解析部門SophosLabsで主任ウイルス研究員を務めるバーニャ・スベイサー氏はブログで指摘している。

　「サイバー犯罪者が悪質ソフトウェアの自動インストールにAndroid Marketを悪用するのを阻止できるよう、アップデートの実施が間に合うことに期待しよう」とさらに同氏は続けている。

原文へのリンク