今月初めに Android モバイル オペレーティング システムで明らかになった 2 つの非常に危険な脆弱性に対する修正がさらに追加されています。
セキュリティベンダーのWebrootとReKey(ボストンのノースイースタン大学とベンダーDuo Securityの共同事業)は火曜日、Androidデバイスの脆弱性を検出しパッチを適用するソフトウェアをリリースした。
オープンソースのAndroidプロジェクトを管理するGoogleは、いわゆる「マスターキー」の脆弱性に対するパッチをすぐにリリースした。その脆弱性のうち1つはBluebox Securityによって発見され、もう1つは中国語のフォーラムに現れた。
しかし、携帯電話のメーカーや通信事業者は、ユーザーへのパッチのリリースが非常に遅い場合が多く、この問題はモバイル機器の使用が増えるにつれてさらに深刻化する可能性がある。
その結果、多くのユーザーが脆弱なデバイスを使用している状況となっています。アナリストのガートナーによると、今年の最初の3ヶ月間で世界中で1億5,600万台以上のAndroidスマートフォンが販売され、市場シェアの74%に達しました。
Bluebox が発見した脆弱性は、過去 4 年間に製造された Android バージョン 1.6 以降を搭載した 9 億台以上のデバイスに影響を及ぼす可能性があります。
この脆弱性は、攻撃者が元の暗号署名に影響を与えることなく、アプリケーションのインストールに使用される Android パッケージ ファイルを変更できるため、特に危険です。
署名はアプリケーションの作成者によって生成され、プログラムの整合性を検証するために使用されます。この脆弱性を利用してアプリケーションを悪意を持って改変することで、ハッカーはAndroidデバイスを完全に制御できるようになります。
ReKeyはGoogleのパッチを適用するアプリケーションです。また、アプリケーションが脆弱性を利用して自身をインストールしようとした場合には、ユーザーに警告を発します。ReKeyは脆弱性を修正するためにデバイスのルート権限を必要としますが、これは通常、ほとんどのアプリケーションには付与されません。
Webrootは火曜日、AndroidのJelly Bean 4.1およびIce Cream SandwichリリースもカバーするSecureAnywhere Mobile製品内にパッチを展開したと発表しました。
Bluebox には、デバイスの脆弱性を検出し、悪意のあるアプリケーションをスキャンするアプリケーションもあります。
ユーザー保護のため、GoogleはPlayストアにあるアプリケーションをスキャンし、正規のプログラムであることを確認しています。また、Androidには「アプリの確認」という機能があり、Googleがインストール前にアプリケーションを審査することができます。
Googleが運営していないアプリケーションマーケットやウェブサイトは、Androidユーザーにとってリスクとなっています。セキュリティ研究者は、ユーザーをスパイできる秘密のコードを送り込むように改変された人気アプリケーションの例を数多く発見しています。
ニュースのヒントやコメントは[email protected]までお送りください。Twitterで@jeremy_kirkをフォローしてください。
