最終的に、研究者たちは同アプリをアップデートし、悪意のある機能を隠す役割を果たしていたテクノロジを取り除いた。その時点で、Bouncerは同アプリを悪質なものとして検出し、Google Playから削除した。
Percoco氏は講演の中で、今でも同氏のテスト用Androidデバイスにインストールされている同アプリで携帯電話から情報を盗む方法や、同アプリを使ってテスト用ウェブサイトにDDoS攻撃を仕掛ける様子をデモで紹介する予定だ。同氏によると、このアプリの価格はGoogle Playのほかの多くのSMSブロッカーよりもはるかに高く設定されていたため、この1台のデバイス以外にダウンロードされることはなかったという。
この偽装手法を習得した開発者がほかにもいたら、ほかのAndroidアプリも裏の顔を持つようになるかもしれない。Percoco氏は、「今は信頼できるアプリでも、将来的に悪意のあるものに変わる可能性が出てきた。マッピングされる許可と制御、またエンドユーザーデバイスに適用される許可と制御をもっと細かくする必要がある」と述べた。
そうすれば、例えばアプリが元々の機能マップまたは役割に含まれていない挙動を開始したことをデバイスが検出した場合、デバイスはそれをブロックする。「こうしたデバイス上のマルウェアに対しては、登録前に自動検査するツールだけではなく、多面的なアプローチが必要だ」(Percoco氏)。
Percoco氏によると、研究者たちは既にGoogleと連絡を取っており、来週開催されるセキュリティカンファレンスで、Androidの研究者とこの問題について話し合う予定だという。
Googleの広報担当者は、この件についての同社のコメントはないと述べた。
過去に研究者たちは、シェルにアクセスして、Bouncerを迂回することに成功していた。また、Google Playで検出されなかったマルウェアもあったが、それはユーザー側の操作を必要とするものだった。今回の最新の研究成果は、ユーザー側の操作を必要とせず、合法的なアクセスを通して、いずれのルールにも違反することなく、Bouncerの脆弱性を悪用した、とPercoco氏は述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス