Androidアプリの99%が「トロイの木馬」に改変できる脆弱性
この記事にはアフィリエイト広告・広告が含まれています。
モバイルセキュリティの米Bluebox SecurityによるとAndroid OS 1.6以降のAndroid端末に深刻な脆弱性があり、Androidアプリの99%がトロイの木馬に書き換えられる状態となっていると報告しています。
Androidアプリ99%がウィルスに改変可能か
この脆弱性を利用すると任意アプリのメールやSMSメッセージ、ドキュメントなどからデータを読み取るほか、アプリに保存されている全アカウントサービスのパスワードを取得可能としています。また、スマートフォンやタブレットの全機能を乗っ取ることが可能で「電話の発信」や「メールやSMS送信」、「カメラを起動」にしたり「通話内容を録音して送信」などが制御可能としています。
署名がついた正規アプリを改変するため、データの取得やボットネット接続状態でも既存のアプリストアやスマートフォン・タブレット、利用者から検知できなくすることが可能としています。
この脆弱性はAndroid 1.6から存在していたとして過去4年間に販売された全Android端末(およそ9億台)が影響を受ける可能性があるとのこと。
Bluebox Securityは2013年2月にGoogleへバグ(8219321)を報告しているほか、同社の公式ブログにて脆弱性の重大さを解説しています。
この詳細はラスベガスで7月27日から開催される「Black Hat USA 2013」セキュリティ会議にて発表される予定となっています。
ファームウェアは各メーカーや携帯キャリアに依存しており、この脆弱性へ対応したアップデートが配布されるのを待つかたちになりそうです。
AndroidデバイスのGoogleアカウントや有料サービスのアカウント(EvernoteやDropbox)などが心配になってきました。
(追記)
Samsung Galaxy S4は対策済みということです。(source:TechCrunch)
追記(2013年7月13日)
Blueboxが脆弱性チェックアプリを公開しました。
Android端末の脆弱性チェックアプリ『Bluebox Security Scanner』公開
