イスラエルのネゲブ・ベングリオン大学のセキュリティ研究者によると、Androidの脆弱性により、悪意のあるアプリケーションがアクティブなVPN(仮想プライベートネットワーク)接続を回避し、デバイスからのトラフィックを攻撃者が制御するシステムに強制的に通過させて傍受することが可能になるという。
同大学のサイバーセキュリティ研究所の研究者は1月17日、この脆弱性はAndroid 4.3(Jelly Bean)に影響を及ぼすと当初報告した。しかし、その後の調査で、モバイルOSの最新メジャーバージョンであるAndroid 4.4 KitKatでも再現することができた。
脆弱なVPN
VPNテクノロジーは、パブリックインターネットを介してプライベートネットワークへの暗号化されたトンネルを作成するために使用されます。企業は、従業員が遠隔地から企業ネットワークに安全に接続できるようにするためにVPN接続を利用しています。また、VPNはリモートネットワークのゲートウェイを介してインターネットにアクセスできるため、安全でない無線ネットワーク経由で接続している場合でも、通信を盗聴から保護するために使用できます。
ベングリオン大学の研究者たちは月曜日のブログ投稿で、悪意のあるアプリが新たに特定されたAndroidの脆弱性を悪用し、アクティブなVPN接続をバイパスして、デバイスからのすべてのデータ通信を攻撃者が管理するネットワークアドレスにルーティングする可能性があると述べた。「これらの通信は平文(暗号化されていない)でキャプチャされるため、情報は完全に無防備な状態になります。このリダイレクトは、ユーザーが全く気づかないまま、データが暗号化され安全であると信じたまま実行される可能性があります。」
火曜日にメールで発表された声明によると、この悪意あるアプリケーションはルート権限やVPN固有の権限を必要としない。いくつかの権限は必要だが、特別なものではないという。必要な権限の種類やその他の技術的な詳細は、脆弱性が露呈する可能性があるため、公表を控えている。また、Googleからの報告への回答を待っている段階だという。
このバイパスは、Androidに含まれるデフォルトのVPNクライアントと一部のサードパーティ製クライアントでは機能するが、すべてではないと述べ、現時点ではこれ以上具体的には言えないと付け加えた。
KNOXとその先
この脆弱性は、ベングリオン大学の研究者らが12月に報告したセキュリティ問題に関連しており、企業環境での使用を目的としたセキュリティ強化版AndroidであるSamsung KNOXのセキュリティに影響を与えると研究者らは主張している。KNOX搭載デバイスの非セキュア領域で実行されるアプリがこの脆弱性を悪用し、ネットワーク構成を変更することで、攻撃者がセキュア領域から発信された通信を傍受できる可能性があると、研究者らは当時発表していた。
サムスンによると、このエクスプロイトはAndroidの正規のネットワーク機能を意図しない方法で利用するものだという。この研究はAndroidやKNOXの脆弱性を実証するものではなく、ネットワーク上のあらゆる場所で発生する典型的な中間者(MitM)攻撃であり、VPNソリューションやSSLなどの安全なデータ転送プロトコルを使用することで軽減できると、同社は1月9日付のブログ投稿で述べている。
サムスンの対応を受けて研究者は問題をさらに調査し、VPN バイパスの発見につながりました。
「最初の発見では、脆弱性の詳細と、攻撃者がデータ通信(SSL/TLSおよびVPN以外)を傍受、ブロック、改ざんできるエクスプロイトの例をサムスンに報告しました」と、研究者たちは先週木曜日にこの問題に関するブログ投稿で述べています。「また、同じ脆弱性を利用して他の種類の攻撃が行われる可能性もあるという点も強調しました。この脆弱性の継続的な調査で、攻撃者は実際にははるかに大きな被害をもたらす可能性があることがわかりました。」
ただし、この脆弱性は VPN 接続をバイパスするために使用できますが、アプリケーション層ですでに暗号化されたトラフィックを検査するために使用することはできません。
例えば、AndroidのメールアプリがSSLを使用してメールサーバーに接続する場合、VPN接続の有無にかかわらず、トラフィックは暗号化されます。HTTPS対応のウェブサイトへの接続や、その他の安全なデータ転送プロトコルを使用した接続でも同様です。
残念ながら、すべてのアプリケーションがトラフィックを暗号化するわけではないため、VPN 接続をバイパスして MitM 攻撃を実行すると、多くの機密情報が取得される可能性があります。
グーグルはコメント要請にすぐには応じなかった。
