AndroidにID偽装の脆弱性が存在、アプリ特権を悪用可能に

[鈴木聖子，ITmedia]

　米GoogleのAndroidに、悪質なアプリを正規の定番アプリに見せかけて特権を悪用できてしまう脆弱性が見つかったとして、モバイルセキュリティを手がける米新興企業のBluebox Securityが7月29日のブログで伝えた。

　同社によると、この脆弱性を利用すればマルウェアがセキュリティ対策のサンドボックスをかわすことも可能になる。例えばAdobe Systemsになりすましてアプリケーションにトロイの木馬を仕込んだり、Google WalletになりすましてNFCの決済情報にアクセスしたりできるほか、デバイス管理拡張機能の「3LM」を実装しているベンダーの端末を完全制御される恐れもあるという。

　この脆弱性は2010年リリースの「Android 2.1（Eclair）」以降に存在する。Googleが2014年4月に公開した修正パッチを適用していない全端末が影響を受けるとBlueboxは説明している。

　脆弱性は、Androidアプリの証明書チェックの仕組みに起因する。Androidアプリでは例えば、Adobe Systemsなど特定の署名が特権を与えられているケースがあるが、Android 2.1以降ではAndroidパッケージインストーラで証明書チェーンが正規のものであるかどうかの確認が行われないという。

Androidの新たな脆弱性を発見したBlueboxの研究者

　このため、例えばAdobe Systemsの証明書を偽装した不正なデジタルID証明書を利用すれば、Adobeに与えられた特権を利用してサンドボックスを回避したり、悪質なコードを仕込んだりすることが可能になる。

　Bluebox Securityはこの脆弱性を「Fake ID」と名付け、8月に米ラスベガスで開かれるセキュリティカンファレンス「Black Hat USA 2014」で発表を予定している。