Google の Android セキュリティ モデルに新たに発見された欠陥により、不正アプリが Android システムとインストールされているすべてのアプリに完全にアクセスし、デバイス上のすべてのデータを読み取り、パスワードを収集し、「常時オン、常時接続、常時移動」のスパイ デバイスのボットネットを作成して、ユーザーの位置を追跡しながら密かに記録することが可能になります。
サンフランシスコのBluebox Securityが発見したこの広範囲に及ぶ脆弱性は、「Androidアプリの暗号検証とインストール方法に不一致があり、暗号署名を破ることなくAPKコードを変更できる」というものです。「この脆弱性の影響を受けるデバイスは、ボットネットに侵入したり、マイクで盗聴したり、データを第三者にエクスポートしたり、データを暗号化して人質に取ったり、デバイスを別のネットワークへの踏み台にしたり、接続されたPCを攻撃したり、プレミアムSMSメッセージを送信したり、ターゲットに対してDDoS攻撃を実行したり、デバイスを消去したりする可能性があります。」
Androidアプリ(「APK」としてパッケージ化)は、iOSアプリと同様に暗号化キーで署名されており、悪意のある第三者によるコード改ざんを防止します。署名されたアプリは、システムが改ざんや変更を検出できるように特別に設計されています。
しかし、新たに発見された Android の欠陥により、悪意のある開発者がシステムを騙して、侵害されたアプリがまだ正当なものであると認識させ、事実上あらゆる操作を実行できるシステム全体へのアクセスを許可してしまう可能性があります。
「この脆弱性の影響を受けるデバイスは、ボットネットの一部になる、マイクで盗聴する、データを第三者にエクスポートする、データを暗号化して人質にする、デバイスを別のネットワークへの踏み台として使用する、接続されたPCを攻撃する、プレミアムSMSメッセージを送信する、ターゲットに対してDDoS攻撃を実行する、デバイスを消去するなど、コンピューターの悪意の領域であらゆることを行うことができます」と、同社の代表者はAppleInsiderに書いています。
Androidのすべてに大きな影響を与える
この欠陥は Android 1.6「Donut」のリリース以来存在しており、過去 4 年間に販売されたほぼすべての Android デバイス (基本的にインストールベースの Android デバイスすべて: Eclair、Froyo、Gingerbread、Honeycomb、Ice Cream Sandwich、Jelly Bean) に影響することを意味します。
この脆弱性を悪用した侵害アプリは、システムリソースへの広範なアクセス権を持つ正規アプリのように見える可能性があります。Blueboxは、Androidライセンシーの自社アプリ(HTC、Samsung、Motorola、LGなど)や多くのVPNアプリ(CiscoのAnyConnectなど)が、通常「Android内で特別な昇格権限、具体的にはシステムUIDアクセスを付与されている」と指摘しています。「最も懸念されるのは、ハッカーがこれらの「ゾンビ」モバイルデバイスの常時接続、常時接続、そして常に移動している(そのため検出が困難)という性質を利用してボットネットを構築する可能性があることです。」
Android のアプリ署名モデルを回避してこのようなアプリに取って代わると、不正なマルウェアは「Android システムと現在インストールされているすべてのアプリケーション (およびそのデータ) への完全なアクセス」を取得できます。
これは、その後、アプリが「デバイス上の任意のアプリケーションデータ(電子メール、SMSメッセージ、ドキュメントなど)を読み取り、保存されているすべてのアカウントとサービスのパスワードを取得するだけでなく、実質的に電話の通常の機能を乗っ取り、そのすべての機能(任意の電話をかける、任意のSMSメッセージを送信する、カメラをオンにする、通話を録音する)を制御することができる」ことを意味します。
Bluebox は、「最後に、そして最も不安なのは、ハッカーがこれらの「ゾンビ」モバイル デバイスの常時オン、常時接続、常時移動 (したがって検出が困難) という性質を利用してボットネットを作成する可能性があることです」と付け加えています。
修正すべき大きな欠陥、9億回のファームウェアアップデートが必要
Blueboxは2013年2月にGoogleとOpen Handset Allianceのメンバーにこの脆弱性を開示しましたが、同社は「モバイルデバイスのファームウェアアップデートの作成とリリース(そしてユーザーがこれらのアップデートをインストールすること)はデバイスメーカーの責任です。これらのアップデートの提供状況は、メーカーとモデルによって大きく異なります」と指摘しています。「Androidマルウェアのエコシステムは、Windowsを取り巻くエコシステムに似てきています。」
これまでのところ、Android のライセンシーはユーザー向けのアップデートの展開に非常に時間がかかっており、重要なセキュリティ パッチの配布さえ拒否することも多い。
Androidのセキュリティ上の欠陥が放置された結果、Androidはマルウェア感染の温床となり、多くの支持者が認めようとしなかった問題となっています。しかし、今回の新たな脆弱性はAndroidユーザーをさらに大きなリスクにさらすことになります。なぜなら、正規の開発者が署名したアプリさえも信頼できなくなるからです。
セキュリティ企業F-Secureが5月に指摘したように、「Androidのマルウェアエコシステムは、Windowsを取り巻くものと似始めている」。
Bluebox は、最高技術責任者の Jeff Forristal 氏により Black Hat USA 2013 セッションでこの脆弱性の詳細を説明する予定です。
部分的な封じ込め、グーグルはそれについて語ろうとしない
最新情報:Computerworldの報道によると、SamsungはフラッグシップモデルのGalaxy S4にのみ、この問題を修正するパッチをリリースしたとのことです。記事によると、Forristal氏は「GoogleはNexusデバイス向けのパッチをまだリリースしていないが、現在開発中だ」と述べているとのことです。
「Googleはこの件についてコメントを拒否した」と報道は付け加えた。「Open Handset Allianceはコメント要請に応じなかった。」
しかし、GoogleはGoogle Playの欠陥を悪用するアプリの配布をブロックしているが、「元々Google Playからインストールされたアプリの悪質なアップデートを手動でインストールするようユーザーを誘導した場合、アプリは置き換えられ、新バージョンはアプリストアとやり取りしなくなる」という。
すでに販売されている何億台もの Android デバイスの更新問題について、Computerworld は「Android エコシステムにおけるパッチの配布の遅さは、セキュリティ研究者と Android ユーザーの両方から長い間批判されてきた」と指摘した。
モバイルセキュリティ企業のDuo Securityは昨年9月、自社のX-Ray Android脆弱性評価アプリを通じて収集した統計に基づき、Androidデバイスの半数以上が少なくとも1つの既知のAndroidセキュリティ欠陥に対して脆弱であると推定した。
