「Android」アプリの99％に「乗っ取り」の危険性--セキュリティ会社が警告

　Bluebox Securityのリサーチャーらは、「Android」のセキュリティモデルに脆弱性が存在しており、これによってAndroidアプリの99％がトロイの木馬型マルウェアに書き換えられる状態になっていることが分かったと主張している。

　Bluebox Securityの最高技術責任者（CTO）Jeff Forristal氏は、この脆弱性の概要に関する重要度の非常に高い内容を同社のブログに投稿した。同氏によると、同脆弱性を悪用すればアプリケーションに変更を加え、データの窃盗や、ボットネットへの接続といったことを可能にしながらも、アプリストアや携帯電話、エンドユーザーから検知できないようにすることが可能になるという。

　「この脆弱性は、少なくとも『Android 1.6』のリリース時から存在しており、過去4年の間に発売されたすべてのAndroid携帯、すなわち9億台近いデバイスが影響を受ける可能性がある」（Forristal氏）

　この脆弱性の核心は、Androidアプリの検証およびインストールの方法にある。各アプリには、アプリの内容が改ざんされていないことを証明するために、暗号化署名が施されている。しかし同脆弱性により、攻撃者はこの署名に手を付けることなく、アプリの内容を変更できるようになっている。

　この脆弱性は今回のブログ投稿を読む限り、弱いハッシュアルゴリズムを選択したことでしばしば可能になる、単純な暗号学的ハッシュ衝突攻撃であるようにも思える。しかしForristal氏の投稿は、詳細にまで踏み込んでいない。

　「この脆弱性により、暗号化署名に一切の影響を与えずにアプリのコードを変更することが可能になっている。つまり実質的に、マルウェアの作成者がAndroidをだまし、実際に変更が加えられていたとしてもアプリは変更されていないと思い込ませられるようになっているわけだ」（Forristal氏）

　Forristal氏によると、Googleには2013年2月に同脆弱性を報告済みであり、8219321というAndroidセキュリティバグ識別子も割り当てられているという。Googleは同脆弱性の存在を認識しているかどうかや、Bluebox Securityから連絡を受けたかどうかについてさえコメントを控えている。同脆弱性はAndroid Open Handset Alliance Projectの問題追跡システムに登録されておらず、問題番号は本稿執筆時点で5万7000番台までしか発番されていない。

　Bluebox Securityは、実証コードをリリースしていないものの、Androidを搭載しているHTC製携帯電話上のシステムソフトウェアの情報を変更できたと主張しており、同社ブログ上にそのスクリーンショットを掲載している。