ほとんどのAndroidアプリが乗っ取り可能!?

いつものように、いろいろなニュースを見ていたら、衝撃的な記事が!!そのタイトルは「アプリの乗っ取りを許す Android の脆弱性」。アメリカのBluebox Security社の研究者が発見してくれたAndroidのとても深刻な脆弱性についてのシマンテックの記事だ。それは「Androidアプリのデジタル署名を改ざんしたり無効化したりせずに、アプリそのものに悪意のあるコードを追加できてしまう」という内容だった。こりゃ、大変だ!この重大な脆弱性はAndroidスマホの99%に影響を与え、各スマホメーカーや各通信キャリアからのパッチの提供にも時間がかかりそうだという。現時点でシマンテックが情報収集した400万件のAndroidアプリには、まだこの脆弱性を意図的に悪用しているものはないが、意図せずに利用しているAndroidアプリは多数確認されたそうだ。意図的でなくても大丈夫なのか!?

この脆弱性の怖いところは、Androidアプリのデジタル署名が正規のままだということ。今までのアプリへの悪意コード追加攻撃は、正規のデジタル署名を改ざんして、攻撃者独自のデジタル署名を付けなければならなかったので、調べれば正規ではないことがすぐわかった。しかし、デジタル署名が正規のままだと、まったく判断ができない。本来デジタル署名はアプリの信頼性を担保するものだが、この最も重要な拠り所への信頼性が大きく揺らいでいるのだ。

Bluebox Security社によると、この脆弱性を利用した攻撃を受けると、スマホに保存してあるメール、SMSメッセージ、保存してある文書を読み取られることはもちろん、すべてのアカウントのパスワードも盗み出される可能性があるという。そのうえ、電話をかける、メールを送る、カメラの電源をいれるなどのスマホのいろいろな機能を外部から自由に制御されてしまう。つまりスマホを完全に乗っ取られるのだ。しかも、改ざんされたアプリがインストールされているスマホの持ち主は、何か不審な出来事が発覚するまで全く気づかないだろう。例えば、ある日突然銀行口座の残高が0円になってしまった・・・とか、友達にウイルスメールを送りまくられた・・・とか、怖すぎる。
こんな深刻な事態に立ち向かうには、この「アプリ乗っ取り脆弱性」に対応済みのセキュリティソフトをインストールして、スマホを守るのが一番だ。

【出典】
シマンテック セキュリティ・レスポンス・ブログ
http://www.symantec.com/connect/ja/blogs/android-17
Bluebox Security社 公式ブログ(英文)
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/