世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。一つはアプリケーションの偽装を可能にするAndroidの脆弱性について。「Fake ID」と名付けられた脆弱性で、米マカフィーなどいくつかのセキュリティベンダーが注意を呼びかけている。ここではマカフィーのブログを紹介しよう。
Fake IDは、不正なアプリケーションが正規アプリケーションのIDを模倣できてしまうというもの。上位権限を獲得してしまうおそれがある。
各アプリケーションが持つ固有のIDは開発者によって定義される。IDは電子証明書として、アプリケーションパッケージ(apkファイルなど)の署名に使われ、ツールやOSによって信頼性を検証される。
しかし、開発者は他のアプリケーションからIDを複製し、新しいアプリケーションのIDと組み合わせて証明書チェーンを作成できる。新しいアプリケーションに証明書チェーンを添付して、正規のアプリケーションを装うことが可能だ。元になった証明書によっては、不正アプリケーションが上位のアクセス権限を獲得してしまう場合もある。
Androidは、他の多くのプラットフォームと同様に、署名によってアプリケーションパッケージを検証するコンポーネントを備えている。しかしFake IDは、この検証プロセスを崩壊し、証明書チェーンの信頼性を検証できないようにする。つまり、あるアプリケーションが別のアプリケーションの振りをして、端末にインストールされる可能性がある。
この脆弱性は、Android 2.1(Eclair)からAndroid 4.3(Jelly Bean)に影響する。不正アプリケーションがどの程度まで上位権限を取得できるかは端末ベンダーやOSのバージョンによって異なる。
米グーグルはこの脆弱性のパッチを4月にAndroid 4.4.4(KitKat)に適用し、OEM向けにも公開した。Android端末ユーザーは最新版Androidにアップデートすることが望まれるが、最新版にアップデートできない状況であれば、セキュリティソフトウエアを利用することを、マカフィーは勧めている。
