Bluebox Securityが、GoogleのAndroidにデバイスを「ゾンビボットネット」に変えてしまう可能性のある重大な欠陥を発見したと初めて発表してからわずか3週間後、Symantecは、この脆弱性を悪用する不正アプリを発見したと報告した。
出典: シマンテック、Androidでは動作しない新しい署名付きマルウェアを発見
7 月初旬、Bluebox 社は、現在使用されているほぼすべての Android デバイスに影響を及ぼすこの欠陥について公表しました。
Googleは「この件についてコメントを控えた」ものの、自社のGoogle Playマーケットにおいて、この問題を悪用しようとするアプリの配信を迅速にブロックしました。しかし、Androidの重要な特徴の一つは、ユーザーが他のストアからソフトウェアをインストールできる「オープン性」です。
その自由は今や負担へと変貌を遂げた。研究者たちは脆弱性の悪用方法を示す「試験管」アプリを迅速にリリースしたが、シマンテックは、この欠陥を悪用しようとする最初のマルウェアを実環境で特定した。そして、Googleが数百万台もの脆弱なデバイスにパッチを適用するのが極めて困難であることも明らかになった。
ポストPCデバイスにはシマンテックの役割がある
シマンテックは新たな報告書の中で、「脆弱性の悪用が容易なため、すぐに悪用されると予想しており、実際にその通りになった」と述べている。「正規のアプリケーションを自由に乗っ取ることができ、たとえ鋭い目を持つ人でも、そのアプリケーションが悪意のあるコードで再パッケージ化されていることに気付かないだろう」 - シマンテック
同社はノートン・モバイル・インサイトツールを使って「何百ものマーケットプレイス」からAndroidアプリをスキャンしており、火曜日に最初に2つのアプリを発見した。
両方とも(上記参照)「中国の Android マーケットプレイスで配布された、医師の検索と予約を支援する正規のアプリケーション」でした。
翌日、シマンテックはさらに4つの感染アプリを特定した。これらは「同じ攻撃者によって感染し、サードパーティのアプリサイトで配布されている」とのことだ。悪用されたアプリには「人気ニュースアプリ、アーケードゲーム、カードゲーム、賭博・宝くじアプリ」が含まれており、いずれも中国のユーザーを標的としていた。
発見されたマルウェア アプリは正規のアプリを密かに改変したバージョンであり、オープン ソース コミュニティの目が届かなかった Android のセキュリティ システムの長年の欠陥により、ほとんどの Android デバイスでは感染していると検出できない。
欠陥を利用してマルウェア収益化を武器化
シマンテックは以前、「正規のアプリに悪質なコードを挿入することは、悪質なアプリ作成者による長年の一般的な戦術である」と説明していた。
しかし、「以前は、アプリケーション名と発行者名の両方を変更し、トロイの木馬化されたアプリには独自のデジタル署名で署名する必要がありました。」
これらの変更により、アプリ署名のおかげで、汚染されたアプリは容易に見分けられるようになる。「アプリの詳細を調べた人は、そのアプリが正規の発行者によって作成されたものではないことにすぐに気付くだろう」とセキュリティ企業は説明している。
新たに発見されたAndroidの脆弱性により、「攻撃者はこれらのデジタル署名の詳細を変更する必要がなくなった」ため、「正当なアプリケーションを自由に乗っ取ることができ、鋭い目を持つ人でもアプリケーションが悪意のあるコードで再パッケージ化されたことに気付かない」ことになる。
iOSアプリもハッキングされる可能性がありますが、Appleのアプリ署名セキュリティは、汚染されたアプリを特定し、動作をブロックします。また、AppleのApp Storeは、カスタム開発以外では、アプリの安全な暗号化に署名するために組織が独自のセキュリティ認証情報を配布する必要があるサードパーティ製ソフトウェアの唯一のソースでもあります。
Androidマルウェア作成者は1999年のようにパーティーを開く
Androidアプリはインストール前に、広範囲にわたる機能に対する広範かつ不必要で不適切な権限を頻繁に要求します。ほとんどのユーザーは、このプロセスをよく確認せずにクリックしてしまいます。
シマンテックが発見した実環境でのマルウェアは、両方のアプリにコードを改変し、「デバイスのリモート操作、IMEIや電話番号などの機密データの窃取、有料SMSメッセージの送信、そしてルートコマンド(利用可能な場合)を使用して一部の中国製モバイルセキュリティソフトウェアアプリケーションの無効化」を可能にしていました。
同社はその後、「Android.Skullkey」と呼ばれるマルウェアペイロードが、デバイスの連絡先に登録されているすべての電話番号にスパムテキストメッセージを送信し、受信者の名前を宛名にしたカスタマイズされたメッセージでマルウェアのウェブサイトのURLに誘導するように設計されていることも発見した。
Apple の iOS 6 では、アプリがユーザーの許可なく連絡先にアクセスしたり、ユーザーにメッセージを送信したりすることは許可されていませんが、Android アプリはインストール前にさまざまな機能に対する広範囲で不必要な不適切な許可を定期的に要求し、ほとんどのユーザーは調べることなくクリックして許可します。
Androidは、幅広いマーケティングリサーチのプラットフォームです
このような広範囲かつ不必要な権限要求の例は、トップレベルから始まります。Facebook for Android は、プラットフォームで最も人気のあるアプリですが、インストール前に、連絡先や通話中の電話番号を確認する機能など、広範囲にわたる権限へのアクセスを要求します。
今月初め、この人気アプリがユーザーの電話帳全体を予告なく収集し、ソーシャルネットワークの巨大なグラフにアップロードし、その後サイト上で「何らかのつながりを持つ」他のユーザーと情報を「共有」していたことが発覚した。
Androidのライセンスを最も多く取得しているサムスンも今月、主力製品である「SAFE」Galaxy S4とNote 2のプロモーションとして「無料」のジェイ・Zアプリをリリースしたが、その際にはユーザーの正確なGPS位置情報、連絡先やソーシャルネットワークのアカウント、使用したアプリや発信した電話番号の統計情報へのアクセスが条件となっていた。
FacebookとSamsungはどちらも、Googleがプラットフォームとして意図した通りにAndroidを利用しているだけだ。今年初め、Google Playがアプリ購入者の氏名、住所、メールアドレスをサードパーティ開発者に送信していたという報道があったが、「これらの情報が実際に転送されているという兆候は全くない」という。
Google の対応は、ジャーナリストがこの問題を「欠陥」と表現したことに腹を立て、出版社に対し、この問題に関する見出し、記事、SEO からこの慣行を好ましくない形で表現することを削除するよう圧力をかけ、ユーザーがこの問題に気づかず、それに関する情報を検索できないようにすることだった。