「Android」アプリを対象とするGoogleのマルウェア検出システム「Bouncer」をテストしているセキュリティ研究者たちは、害のないアプリを提出した後、それを段階的にアップデートしていく過程で、悪意のある機能を追加することに成功した。研究者の1人が米国時間7月20日、米CNETに明らかにした。
TrustwaveのSpiderLabsを率いるNicholas Percoco氏と、同氏の同僚であるSean Schulte氏は来週、ラスベガスで開催されるBlack HatおよびDefconカンファレンスで「Adventures in Bouncerland」と題されるセッションを行い、この研究について語る予定だ。
Googleが2月にAndroidマーケット「Google Play」のアプリを保護するBouncerシステムを発表した後、研究者たちは、同システムに既に登録されている無害なアプリを、Bouncerマルウェア警告システムに検出されることなく、悪質なものに変えることが可能かどうかを確かめることにした。そして彼らは成功した。
彼らはまず、特定の人からのテキストメッセージをブロックできるアプリであるSMSブロッカーを作成した。同アプリがGoogle Playに掲載されて、一般の人々がダウンロードできるようになると、研究者たちは11回のアップデートを重ね、テキストメッセージのブロックとは全く関係のない機能を追加した。Percoco氏によると、Bouncerはそれらのアップデートを1つも検出しなかったという。機能の変更をBouncerから隠すための偽装手段が用いられたためだ。「われわれは、Bouncerに目隠しの布をかぶせるテクニックを使った」(同氏)。
したがって、このアプリ(彼らは来週になるまでアプリ名を明かそうとしない)は純粋なSMSブロッカーとして公開され、その後の度重なるアップデートによって、デバイス上のあらゆるデータにアクセスできる機能を持ち、さらには携帯電話を分散型サービス拒否(DDoS)攻撃のゾンビマシンに変えてしまう機能までも備えるようになった。
「われわれがGoogle Playで公開した最後のバージョンでは、エンドユーザーのすべての写真や連絡先、通話記録、SMSメッセージを盗むことが可能だった。また、われわれはユーザーのデバイスを乗っ取ることができる」、そして悪意のあるウェブサイトにデバイスを誘導することもできる、とPercoco氏は述べた。「われわれは最後に述べた機能を利用して、モバイルデバイスのロケーションを定義し、標的に対してDDoS攻撃を仕掛けることが可能だった」(同氏)。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス