警報! Androidの99%に乗っ取りを許す脆弱性―Google Playは安全、Glaxy S4は対策ずみ

モバイル・セキュリティのスタートアップ、 Bluebox Securityは「過去4年間に発売されたAndroidの99%、つまり9億台近いデバイスに重大な脆弱性が存在していた」と発表した。

この脆弱性はAndroidv1.6(Donut)から存在しており、Blueboxがこの2月に発見してGoogleに報告した。 Samsung Galaxy S4はすで対策ずみだという。Googleも当然ながら対策に動いているものと考えられる。われわれはこの件でGoogleに問い合わせを行なっているので、なんらかの回答が得られ次第アップデートする。

Blueboxはこの脆弱性について今月末に開催されるBlack Hat USAカンファレンスで技術的詳細を発表する予定だが、概要はブログ記事で紹介されている。悪意あるハッカーは、この脆弱性を利用して、暗号化されたデジタル署名を変えることなしにアプリケーションのコードを書き換え、正当なアプリをトロイの木馬に変えることができるという。

BlueboxはAndroidアプリがインストールに際してデジタル署名によって正当性を認証される過程における不整合からこの脆弱性を発見した。つまり悪意あるハッカーがデジタル署名を変えることなくアプリのコードを変えることができるというのがこの脆弱性の本質だ。Androidデバイスはアプリに悪意あるコードが仕込まれているのに気づかずにインストールし、その後やりたい放題を許してしまう。

CiscoのAnyConnect VPNアプリのようにシステムUIDにもアクセスできるアプリ、つまりデバイス・メーカーないしメーカーと密接に協力するサードパーティーが作成したアプリが攻撃のターゲットになった場合、被害は一層深刻なものとなる。こうしたアプリに悪意あるコードが仕込まれた場合、単にアプリ内のデータだけでなく、各種パスワードやアカウント情報が盗まれ、ひいてはデバイス自体のコントロールを乗っ取られる可能性がある。Blueboxは次のように説明する。

デバイス・メーカー自身が作成したアプリにトロイの木馬が仕込まれた場合、そうしたアプリはAndroid OSのすべての機能およびインストールされているすべてのアプリ(とそのデータ)にアクセスが可能となる。そうしたトロイの木馬アプリはデバイス上のあらゆるアプリのデータ(メール、SMSメッセージ、文書etc)を読み取るだけでなく、保存されているあらゆるパスワードとアカウント情報を取得し、そのデバイスの通常の機能を完全に支配することが可能となる(勝手に通話したりSMSを送信したり、カメラで写真を撮ったり、通話を録音したりできる)。そしてこれがいちばん憂慮される点だが、こうして乗っ取ったデバイスを利用して常時接続、常時起動状態のボットネットの形成が可能になる。このボットネットはモバイル・デバイスであり頻繁に移動するため探知して制圧することがきわめて困難だろう。

99%のAndroidデバイスが乗っ取りの潜在的ターゲットであるというのはなんとしてもショッキングな事態だが、脆弱性が存在する(これは事実だが)からといって、実際にその脆弱性が広く悪用されているとは限らないという点は強調しておかねばならない。さいわい今回は脆弱性情報が広がる前にGoogleに通報が行われており、Googleは全力で対策に取り組んでいるはずだ。

そうはいってもこの脆弱性にパッチを当てる作業は、Androidのエコシステムの特性から時間がかかりそうだ。Androidファームウェアにパッチを当てるアップデートはデバイスのメーカーの責任となる(さらにファームウェアのアップデートをインストールするのはユーザーの責任だ)。つまりこの脆弱性への対応はデバイス・メーカーとデバイスのモデルごとに大きく異なる可能性がある。

OSのアップデートが迅速に行われないのはAndroidエコシステムのもとからの大きな問題だった(Nexusは例外)。今回の脆弱性もアップデートが十分に行き渡るまでにはかなりの時間がかかりそうだ。

当面の対策jとして、Blueboxは以下のようにアドバイスしている。

  • Androidユーザーはアプリのインストールに当たってデベロッパーの身元に今まで以上に十分な注意を払うこと。
  • BYOD(私物デバイス持ち込み可)という方針を取っている企業は全員にデバイスを最新の状態にアップデートするよう指示すること。
  • IT部門は単にデバイスを管理するだけでなく、デバイスとアプリケーションの正当性を常に注意深く検査し、企業データ防衛に備えること。

Androidではマルウェア問題がよく取り上げられるが、これは実際にマルウェアによる被害が蔓延しているからというより、マルウェアの作者にとってAndroidが最大のターゲットであり、したがって発見されるマルウェアの数も多いという事情があるからだ。また一部のモバイルOSとは異なり、Androidがハッカーにとって特に狙い易いプラットフォームだというわけでもない。GooglePlayだけからアプリをインストールしている平均的なユーザーにとって現実の危険はごく低いという点は強調しておきたい。もちろん今回の脆弱性をマルウェア作者がどのように利用するかは注意深く見守る必要がある。

アップデート: CIOによればBlueboxのCTO、Jeff Forristalは「GoogleはすでにPlayストアの登録プロセスをアップデートし、この脆弱性を利用した悪意あるアプリをブロックするようにした」と語った。

〔日本版〕 同じくForristalによれば「Google Play上の既存のアプリでこの脆弱性を利用したものは発見されなかった」という。開発者に信頼がおけると確実に知っている場合以外、Google Play以外の場所からアプリをインストールするのは控えたほうがよさそうだ。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+