2013/07/13
10:30
Tag: 
今週はAndroidユーザーにとってショッキングなニュースが駆け巡った1週間でした。
- 警報! Androidの99%に乗っ取りを許す脆弱性―Google Playは安全、Glaxy S4は対策ずみ - TechCrunch Japan
- グーグル、「Android」の脆弱性問題でOEM各社に修正をリリース - CNET Japan
- Uncovering Android Master Key That Makes 99% of Devices Vulnerable - Bluebox Security
今回の脆弱性は”99%”という数字が各ニュースの見出しになっています(私もタイトルに採用してますw)が、実際は”マスターキー脆弱性”と言われています。
脆弱性の内容は、TechCrunchの説明を借りるとこういうことです。
Androidアプリがインストールに際してデジタル署名によって正当性を認証される過程における不整合を利用して、悪意あるハッカーがデジタル署名を変えることなくアプリのコードを変えることができる(=正当なアプリをトロイの木馬に変える)。
デバイス・メーカー自身が作成したアプリにトロイの木馬が仕込まれた場合、そうしたアプリはAndroid OSのすべての機能およびインストールされているすべてのアプリ(とそのデータ)にアクセスが可能となる。
つまり、今回の脆弱性への対策は以下の2通りあります。
- 本脆弱性に対応した修正アップデートを適用する
- アプリのコードを書き換えるための不正アプリが端末にインストールしない
1.については、Nexusシリーズ以外はメーカー or キャリアからの修正アップデートのリリースを待つ必要があるので、かなり時間がかかると思われます。
よって、2.の対策が重要ですが、
- Google Play上のアプリには本件にかかる不正アプリは存在しない(今後登録されるアプリが不正アプリがであった場合はブロックされる)
- Android 4.2以降に搭載されている”Verify Apps”機能が野良アプリが不正アプリでないかチェックしてくれる
- Bluebox Securityがスキャンアプリを提供してくれている
→Bluebox Security Scanner - Google Play
※Verify Apps機能については、Android 4.1.x以前でも、Google開発者サービスにて提供されている可能性もあります。
野良アプリインストール時に、”確認してインストール”が選択可能
Bluebox Security Scannerを利用すると、利用している端末が既に脆弱性に対応しているかどうか、本件にかかる不正なアプリをインストールしていないかをスキャンすることが出来ます。
INFOBAR A02はまだ未対応でしたorz
この連休を利用して、しっかりと対策をとりたいところですね。
<2013.12.25追記>
INFOBAR A02へ修正パッチが配信されています。
<追記>
カスタムROMで有名な、CyanogenModは、既に本脆弱性への修正パッチを適用した安定版ROM(CyanogenMod 10.1.1にて対応、現在は10.1.2が最新)をリリースしています。
- This Week in CyanogenMod - CyanogenMod
- CyanogenMod 10.1.1 Release - CyanogenMod
