Androidで、全アプリをトロイの木馬に改変可能な脆弱性発見

　過去4年間に販売されたAndroid端末にきわめて深刻な脆弱性が存在することが判明した。すべてのデジタル署名されたアプリをマルウェアに改変し、アプリに付与された特権を利用し、スマートフォンを支配下に置くことが可能になるという深刻さだ。

　脆弱性はAndroid OS 1.6（コードネームDonut）以後のOSに存在しており、現時点で利用されているAndroidスマートフォンの99％が影響を受けるという。

　この脆弱性は、米国サンフランシスコにあるモバイルセキュリティベンチャーBluebox Security社研究者が発見し、7月27日から米国ラスベガスで開催される「Black Hat USA 2013」セキュリティー会議にて技術的詳細が発表される予定だ。

　Bluebox Security社はすでにGoogleに対して「Android security bug 8219321」として2013年2月に報告している。

　Bluebox Security社CTOのJeff Forristal氏は、詳細を発表する前に公式ブログにて脆弱性の概要について説明し、ことの重大さについて、「Blueboxのセキュリティ研究チームは、ハッカーがアプリケーションの暗号署名を壊すことなくAPKコードを改変し、アプリストアにも、キャリアにも、エンドユーザーにも全く気づかれずに、任意の正当なアプリを悪意のあるトロイの木馬に改変できる、Androidセキュリティモデルの脆弱性を発見した」と説明する。

　さらに最も深刻なこととして、「端末メーカー（例えばHTC、サムスン、モトローラ、LG）や端末メーカーと協力するサードパーティー（例えばCiscoのAnyConnect VPN）によって開発されるアプリケーションは、Android内で特別昇格権限、特にシステムUIDへのアクセスが付与されていることを考慮するとき、このリスクは倍増する」と指摘する。

　Bluebox Security社では、システムファームウェアに登録されている「Baseband Version」の文字列を「Bluebox」に改変したスクリーンショットをブログに掲載し、事態の深刻さをアピールしている。

　この脆弱性が悪用された場合、「アプリケーションは任意のアプリケーションデータ（電子メール、SMSメッセージ、文書など）を読み取る能力を持っているだけでなく、保存されているすべてのアカウントサービスのパスワードを取得し、それは本質的には携帯電話の通常機能を乗っ取り、いかなる機能（任意の電話をかける、任意のSMSメッセージを送信する、カメラの電源を入れる、通話を録音する）をも制御できることになる。」

　さらに最も不安なこととして「常時電源が入っていて、常時接続され、いつも移動している（そのため検出が困難）であるという、“ゾンビ”モバイルデバイスの性質を、ハッカーが活用してボットネットを作成すること」を挙げている。

　脆弱性の存在はすでにGoogleに通知されているが、ファームウェアアップデートは各端末メーカーや携帯キャリアに依存している。端末の種類とAndroidバージョンの多さによって速やかなアップデートは難しい点は、これまでもセキュリティ関係者によって批判されてきた。

　Bluebox Security社では現時点で可能な3つの対策を挙げている。

（1）デバイスの所有者は、ダウンロードしたいアプリの発行元をこれまで以上に注意して識別する必要がある。

（2）BYODポリシーを持つ企業は、全ユーザーが自分のデバイスのアップデートを更新するよう注意を喚起し、自分のデバイスを絶えず最新の状態に保つことの重要性を強調すること。

（3）IT部門は既存の端末管理の枠を超え、よりきめ細かくデバイスの整合性チェックと企業データの安全性確保に注力する。