報告書:Androidのセキュリティモデルの欠陥により、99%のデバイスが攻撃に対して脆弱
ブレア・ハンリー・フランク著
最新情報: IDG News Serviceの報道によると、GoogleはGoogle Playストアにパッチを適用し、この脆弱性を悪用しようとするトロイの木馬がストアからダウンロードできないようにしたとのことです。ただし、この保護措置はGoogleストア外には適用されません。
Android ユーザーの皆さん、ご注意ください。攻撃者が携帯電話を乗っ取る可能性のあるトロイの木馬に対して脆弱である可能性が非常に高いです。
Bluebox Security は、ブログ記事で Android の「マスター キー」と呼ぶものを発見しました。これは、攻撃者が Android スマートフォンのすべての機能にアクセスできる欠陥です。
Bluebox SecurityのCTO、ジェフ・フォリスタル氏は、この脆弱性により「(アプリケーションの)暗号署名を破ることなくAPKコードを改変できる」と述べています。言い換えれば、攻撃者は非常に説得力のあるトロイの木馬を作成できるということです。Blueboxによると、Android 1.6「Donut」以降を搭載したすべてのデバイスが攻撃の影響を受けます。
これは深刻なエクスプロイトであり、被害者のデバイスへの信じられないほどのアクセスを可能にします。Forristal氏は次のように述べています。
デバイスメーカーからトロイの木馬アプリケーション をインストールすると、 そのアプリケーションはAndroidシステムと現在インストールされているすべてのアプリケーション(およびそのデータ)へのフルアクセスを許可される可能性があります。これにより、アプリケーションはデバイス上の任意のアプリケーションデータ(メール、SMSメッセージ、ドキュメントなど)の読み取り、保存されているすべてのアカウントおよびサービスのパスワードの取得が可能になるだけでなく、実質的に電話の通常の機能を乗っ取り、あらゆる機能(任意の通話の発信、任意のSMSメッセージの送信、カメラの起動、通話の録音)を制御することが可能になります。そして、最も懸念されるのは、ハッカーがこれらの「ゾンビ」モバイルデバイスの常時接続、常時接続、そして常に移動している(したがって検出が困難)という性質を利用してボットネットを構築する可能性があることです。
Blueboxは今年2月、Androidセキュリティバグ8219321として知られるこの脆弱性をGoogleに開示しました。現在、メーカーはファームウェアアップデートでこの脆弱性を修正し、通信事業者はそれらのファームウェアアップデートを配信する義務を負っています。
言うまでもなく、これは非常に恐ろしい事態です。Blueboxは、キャリアが修正プログラムをリリースした際に確実に適用できるよう、デバイスのファームウェアを最新の状態に保つことを推奨しています。これらのアップデートがリリースされるまで、Forristal氏は「デバイス所有者は、ダウンロードしたいアプリの発行元を特に慎重に確認する必要があります」と推奨しています。
フォリスタル氏は、今年ラスベガスで開催されるブラックハットカンファレンスでの講演でこの欠陥について議論する予定だ。
関連記事:私が補助金付きのAndroidスマートフォンをもう買わない理由(そしてあなたも買うべきではない理由)
