Android OSに脆弱性、アプリインストールを乗っ取る恐れ
一見安全に見えるAndroidアプリケーションがインストールの過程で改ざんされたり、マルウェアに入れ替えられたりする恐れがあるという。
米GoogleのAndroid OSに、一見安全に見えるAndroidアプリケーションがインストールの過程で改ざんされたりマルウェアに入れ替えられたりする恐れのある脆弱性が発見され、米セキュリティ機関のUS-CERTが3月24日に注意を呼び掛けた。
この脆弱性はセキュリティ企業のPalo Alto Networksが同日のブログで明らかにしたもので、同社は「Androidインストーラ乗っ取り」と命名。2015年3月現在でAndroidユーザーの49.5%が影響を受けると推定している。
Palo Alto Networksによると、攻撃者がこの問題を悪用すれば、Android APKのインストールプロセスを乗っ取ることが可能になる。例えば正規の「Angry Birds」をインストールしようとしたユーザーが、マルウェアを仕込んだ別のアプリをインストールさせられ、知らないうちにデータにアクセスされたり盗まれたりする恐れがあるという。
脆弱性はAndroid 2.3、4.0.3〜4.0.4、4.1.x、4.2.xで悪用できることを確認したほか、Android 4.3も影響を受ける可能性があるとしている。Android 4.4以降で問題が修正された。
影響を受けるのは、Google以外の企業などが運営するサードパーティーアプリストアからダウンロードしたアプリケーションのみ。Palo Alto Networksは2014年1月にこの脆弱性を発見し、GoogleのほかSamsung、Amazonなどの主要メーカーに連絡してパッチ開発に協力してきたという。
GoogleのAndroidセキュリティチームでは、ユーザーの端末に対してこの脆弱性の悪用を試みる動きは確認されていないと説明。US-CERTでは、サードパーティーのアプリストアからソフトウェアをインストールする際は注意するよう呼び掛けている。
関連記事
- AndroidとiOSアプリ、まだ多数に「FREAK」の脆弱性が存在
- Google、Android 4.0向けChromeのサポート打ち切りへ
- Androidに問題、Google Playと標準ブラウザの脆弱性悪用で
- Androidに未解決の脆弱性情報、Googleは「対応せず」方針
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.