公式サイトで配布されるアプリも安全とはいえない
2012年10月16日から18日の3日間、米ニューヨークで開催された国際的なコンピューター科学学会であるACM会議で、ドイツのライプニッツ大学およびフィリップ大学のセキュリティ研究者が、グーグルの公式サイト「Google Play」で配布されているアプリのセキュリティ問題を指摘した。発表論文によると、Androidアプリの多くは、SSL/TLSプロトコルの実装に起因するセキュリティ問題があるとのことだ。
会議論文は脆弱性CVE-2012-5456の参考文献として、PDF形式で公開されている。
指摘されたセキュリティ問題は、SSL/TLSプロトコルの中間者攻撃(Man in the Middle)に対する脆弱性で、再ネゴシエーションにおける脆弱性としても知られている。これは、SSL/TLSによる通信中、情報の送信者と受信者の中間に攻撃者や攻撃用サイトが割り込むことで、偽の情報など任意の文字列を挿入することである。SSL/TLSによる通信は電子証明書で通信の正当性が確認できるが、その実装によっては偽の電子証明書でも正当と見なされ、攻撃が成立する。
論文では、まず問題の全体を知るために中間者攻撃の脆弱性を検出するツール「MalloDroid」を使ってSSL/TLSプロトコルの実装を調査した。結果、対象アプリの8%に当たる1074点に脆弱性があることが分かったという。さらに詳細を知るためにそのうち100点を選び出して個別に精査したところ、41点については、アカウント情報やクレジットカード情報漏洩の危険性があり、さらにウイルス定義ファイルを操作してウイルス検知を不正確にする危険性もあったとしている。
Androidの不正アプリが累計17万5000種を超えた
トレンドマイクロは2012年10月23日、2012年第3四半期(7~9月)の「セキュリティラウンドアップ(PDF文書)」を公開した。
モバイル端末では、Androidの不正アプリが累計17万5000種を超えた。不正アプリ数の世界1位はANDROIDOS_FAKEが2万9309点、2位はANDROIDOS_BOXERが2万5752点、3位は情報収集用のANDROID_KMINが3910点。1位と2位が群を抜いて多く、両方ともトロイの木馬タイプのウイルスである。
ウイルスでもっとも多く検出されたのは、ZACCESSだった。ZACCESSは活動を隠し他の複数の不正プログラムを作成したりダウンロードさせたりするため、多重感染を起こしやすい。Webサイト閲覧でウイルスに感染させるドライブ・バイ・ダウンロード攻撃では、Blackholeの新しいバージョンが確認された。標的型攻撃では、Luckycatが注目された。
