グーグルは土曜日遅く、数千台の携帯電話が攻撃を受けマルウェアを遠隔削除せざるを得なくなったことを受けて、モバイルOS「アンドロイド」向けアプリケーションストア「アンドロイドマーケット」に新たな安全策を組み込むと発表した。
Android マーケットの 50 以上のアプリケーションに、DroidDream と呼ばれるプログラムが含まれていることが判明しました。このプログラムは、モバイル デバイスに関する情報を盗む機能があり、さらに危険なことに、他の悪意のあるアプリケーションを携帯電話にダウンロードする可能性があります。
Google は土曜日までこの問題についてほとんど沈黙していたが、土曜日にブログ投稿で、悪質なアプリケーションをリモートで削除するコマンドを使用することを決定したことを認めた。
Androidのセキュリティ責任者であるリッチ・キャニングス氏によると、悪意のあるアプリケーションをダウンロードしたAndroidユーザーは、3日以内に[email protected]から状況を説明するメールを受け取るとのことです。Googleはマルウェアの削除に加え、「Android Market Security Tool March 2011」と呼ばれるアップデートをユーザーに強制的に配信しています。このアップデートは、DroidDreamが悪用するセキュリティ上の問題を修正するものです。(「Androidスマートフォンからマルウェアを遠ざける:5つの簡単なヒント」も参照してください。)
キャニングス氏によると、一部のユーザーは、デバイス上で悪意のあるアプリケーションが削除されたという通知を受け取る可能性があるとのことです。脆弱性が修正されてから約1日後、ユーザーには2通目のメールが届きます。
Android 2.2.2未満のバージョンを搭載したスマートフォンは脆弱性を抱えています。これらの問題は、「Gingerbread」として知られる最新バージョンのAndroid 2.3で修正されています。
DroidDreamを解析したLookout Mobile Securityによると、DroidDreamは「exploid」と「rageagainstthecage」という2つのエクスプロイトを使ってスマートフォンにインストールされるという。同社は先週、Lompoloという名のRedditユーザーからこの状況について情報提供を受けた。
Lookoutは日曜日に自社ブログでDroidDreamの詳細な分析を公開し、このアプリケーションのより深刻な詳細を明らかにしました。DroidDreamは午後11時から午前8時までのみ動作するようにコード化されており、「感染したデバイスの所有者は就寝している可能性が高く、スマートフォンの異常な動作に気付かない時間帯」です。
DroidDreamはAndroidのLinuxオペレーティングシステムへのルートアクセスを取得しました。Googleによると、このマルウェアはデバイスの国際移動体装置識別番号(IMEI)とSIMカードの国際移動体加入者識別番号(IMSI)を収集したようです。
Lookoutによると、その情報はカリフォルニア州フリーモントにあるリモートサービスに送信されたという。
Lookoutによると、情報を送信した後、DroidDreamは「DownloadProviderManager.apk」と呼ばれるシステムアプリケーションをダウンロードし、特別な許可なしに誰かがそれを表示したりアンインストールしたりするのを防ぐという。
Lookoutによると、この第2段階のアプリケーションは、製品ID、携帯電話のモデル、携帯電話で使用されている言語、国情報、ユーザーIDなどの追加情報を収集する。また、他のアプリケーションをサイレントにダウンロードすることも可能だ。
「マルウェアの第一段階はデバイスのルートアクセスを取得することを目的としており、第二段階は主にコマンド&コントロールサーバーへの接続を維持し、他のファイルをダウンロードしてインストールすることを目的としています」とLookoutは記している。「コマンド&コントロールサーバーが追加のアプリケーションをダウンロードするためのコマンドを発行するのを確認していないため、その正確な目的を推測することはできません。しかし、可能性は無限大です。」
「DroidDreamは、あらゆるアプリケーションをサイレントにインストールし、ルート権限でコードを自由に実行できる強力なゾンビエージェントであると考えられる」とLookoutは書いている。
Googleは、DroidDreamによって改変された正規のアプリケーションを含む、影響を受けたアプリケーションをAndroidマーケットから削除した。また、汚染されたアプリケーションのパブリッシャーを禁止し、法執行機関に連絡したと発表している。
DroidDream 事件は、Google の公式 Android Market がマルウェアに大規模に侵された初めての事例だが、以前にも改ざんされたアプリケーションの事例はあった。
GoogleはAndroidマーケットの審査をほとんど行っておらず、開発者がアプリケーションを迅速にユーザーに届けられるようにしたいと考えているとしている。しかしながら、「セキュリティはAndroidチームにとって最優先事項であり、今後このような攻撃を防ぐための新たな安全対策の構築に尽力しています」とキャニングス氏は述べている。
ニュースのヒントやコメントは[email protected]までお送りください。
