2013/07/13

99%のAndroid端末に存在する脆弱性の情報~対策まとめメモ



今週はAndroidユーザーにとってショッキングなニュースが駆け巡った1週間でした。

今回の脆弱性は”99%”という数字が各ニュースの見出しになっています(私もタイトルに採用してますw)が、実際は”マスターキー脆弱性”と言われています。

脆弱性の内容は、TechCrunchの説明を借りるとこういうことです。
Androidアプリがインストールに際してデジタル署名によって正当性を認証される過程における不整合を利用して、悪意あるハッカーがデジタル署名を変えることなくアプリのコードを変えることができる(=正当なアプリをトロイの木馬に変える)。
デバイス・メーカー自身が作成したアプリにトロイの木馬が仕込まれた場合、そうしたアプリはAndroid OSのすべての機能およびインストールされているすべてのアプリ(とそのデータ)にアクセスが可能となる。

つまり、今回の脆弱性への対策は以下の2通りあります。
  1. 本脆弱性に対応した修正アップデートを適用する
  2. アプリのコードを書き換えるための不正アプリが端末にインストールしない

1.については、Nexusシリーズ以外はメーカー or キャリアからの修正アップデートのリリースを待つ必要があるので、かなり時間がかかると思われます。

よって、2.の対策が重要ですが、
  • Google Play上のアプリには本件にかかる不正アプリは存在しない(今後登録されるアプリが不正アプリがであった場合はブロックされる)
  • Android 4.2以降に搭載されている”Verify Apps”機能が野良アプリが不正アプリでないかチェックしてくれる
  • Bluebox Securityがスキャンアプリを提供してくれている
    Bluebox Security Scanner - Google Play
と、各種対策がしっかりなされていますから、各自で自衛することは充分可能です。


※Verify Apps機能については、Android 4.1.x以前でも、Google開発者サービスにて提供されている可能性もあります。

野良アプリインストール時に、”確認してインストール”が選択可能


Bluebox Security Scannerを利用すると、利用している端末が既に脆弱性に対応しているかどうか、本件にかかる不正なアプリをインストールしていないかをスキャンすることが出来ます。

INFOBAR A02はまだ未対応でしたorz

この連休を利用して、しっかりと対策をとりたいところですね。

<2013.12.25追記>
INFOBAR A02へ修正パッチが配信されています。

<追記>
カスタムROMで有名な、CyanogenModは、既に本脆弱性への修正パッチを適用した安定版ROM(CyanogenMod 10.1.1にて対応、現在は10.1.2が最新)をリリースしています。

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | Blogger Templates
Related Posts Plugin for WordPress, Blogger...