最近発表された Android の脆弱性に関する技術的な詳細と概念実証のエクスプロイトが公開されました。この脆弱性は、数百万台のデバイスに影響を与える可能性があり、攻撃者が正規のアプリをトロイの木馬プログラムに変えることを可能にします。
先週の水曜日、モバイルセキュリティ企業 Bluebox Security のセキュリティ研究者は、Android がアプリケーションパッケージ (APK) のデジタル署名を検証する方法に脆弱性が存在し、攻撃者がデジタル署名を破ることなく変更できる可能性があると発表した。
Bluebox の研究者らは、バグとその潜在的な影響についての概要説明のみを提供し、技術的な詳細はラスベガスで開催される Black Hat セキュリティ カンファレンスでの今後のプレゼンテーションに残すことにしました。
それ以来、コミュニティが構築した Android ファームウェア バージョンである CyanogenMod の開発者は、バグの場所を特定し、Google からのパッチをコードにマージしました。
セキュリティ企業ViaForensicsのモバイルセキュリティエンジニア、Pau Oliva Fora氏は、公開されているCyanogenModのバグエントリの情報を利用し、この脆弱性を悪用してアプリを改変できる概念実証用のLinuxシェルスクリプトを開発しました。このコードはAPKToolプログラムを利用しており、月曜日にGithubで公開されました。
「これは、Androidが重複したファイル名を持つAPKを処理する方法に問題がある」とオリヴァ・フォーラ氏は火曜日のメールで述べた。「署名が検証されるエントリはAPK内の2番目のエントリであり、最終的にインストールされるのはAPK内の最初のエントリ、つまり悪意のあるペイロードを含む可能性のある注入されたエントリであり、署名は全くチェックされていない。」
GoogleがPlayストアに変更を加える
Blueboxの研究者らは先週、GoogleがGoogle Playに変更を加え、このように改変されたアプリを検出できるようにし、すでにデバイスメーカーにパッチが配布されていると発表しました。これにより、Google Play以外のソースからアプリをインストールするユーザー(いわゆるサイドローディング)だけが、潜在的な脆弱性にさらされることになります。
「これは非常に深刻な脆弱性だと思います。パッチを当てていないデバイスを持っている人は、特に公式の配布チャネルから来たものではないものをインストールする場合は、注意する必要があります」とオリバ・フォーラ氏は述べた。
この脆弱性は、Androidマルウェア作成者にとって、正規のアプリパッケージに悪意のあるコードを追加し、標的のデバイスにインストールされている場合に元のアプリケーションを適切に更新することを可能にするため、利益をもたらすと研究者は述べた。
悪者はそれを利用する
Androidマルウェアの作成者は、サードパーティのアプリストアを含む様々な方法で、人気ゲームやアプリケーションを装った悪意のあるアプリを既に配布しています。今回の脆弱性により、このソーシャルエンジニアリング手法の効率性が高まる可能性があります。
幸いなことに、このように改変されたAPKは、ウイルス対策ベンダーによって非常に簡単に検出できるはずだとオリヴァ・フォーラ氏は述べた。「APKファイル内で重複したファイル名を探すだけで済むのです。」
研究者は、Bluebox Securityが当初計画していたように、脆弱性に関する技術的な詳細はBlack Hatまで公開されなかった方が良かっただろうと述べた。しかし、「たとえ脆弱性の詳細が明らかになったとしても、ジェフ・フォリスタル氏(BlueboxのCTO)のBlack Hatでの講演は期待を裏切らないだろうと確信している」と付け加えた。
「脆弱性の詳細が協調的に公開されれば、通常はほとんどのユーザーの安全が確保されますが、Androidエコシステムの性質上、ベンダーや通信事業者は放置されたデバイスにパッチを展開することはなく、残念ながら多くのデバイスは永久に脆弱なままになります」とオリバ・フォーラ氏は述べた。
