米Bluebox Securityは現地時間2013年7月3日、Androidのセキュリティモデルに脆弱性を発見したことを明らかにした。市場に出回っているAndroid端末の99%が影響を受ける可能性があるとしている。
同脆弱性により、悪質なハッカーはアプリケーションストアにも端末にもユーザーにも気づかれることなく、正規のアプリケーションを悪質なトロイの木馬に変えることができてしまう。
すべてのAndroid向けアプリケーションには、Androidシステムがそれを正規のものか判断するための暗号化署名を備えている。しかし、今回Blueboxが確認した脆弱性を悪用すると、悪質なハッカーは暗号化署名を破ることなくAPKコードを改ざんできる。
端末メーカーが開発した正規アプリケーションがトロイの木馬に変えられた場合、Androidシステムや、端末にインストールされているすべてのアプリケーション、およびそのデータにアクセスされる危険性がある。電子メールやメッセージ、ドキュメントの閲覧だけでなく、保存されているアカウントやパスワードなどを収集されるほか、任意の通話発信やメッセージ送信、カメラ起動、通話の記録といった機能も制御される恐れがある。
問題の脆弱性は「Android 1.6」(開発コード名は「Donut」)リリース以来存在し、過去4年間にわたって提供された9億台近いAndroid端末が影響を受けると、Blueboxは指摘している。
同脆弱性については2月に米Googleに報告済みで、Blueboxによれば各端末メーカーからファームウエアアップデートが配信される見込み。脆弱性とそれを利用する手法の詳細は、7月27日より米ネバダ州ラスベガスで開催されるセキュリティ会議「Black Hat USA 2013」で発表する予定という。
[発表資料へ]
