世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。一つはアプリケーションの偽装を可能にするAndroidの脆弱性について。「Fake ID」と名付けられた脆弱性で、米マカフィーなどいくつかのセキュリティベンダーが注意を呼びかけている。ここではマカフィーのブログを紹介しよう。

 Fake IDは、不正なアプリケーションが正規アプリケーションのIDを模倣できてしまうというもの。上位権限を獲得してしまうおそれがある。

 各アプリケーションが持つ固有のIDは開発者によって定義される。IDは電子証明書として、アプリケーションパッケージ(apkファイルなど)の署名に使われ、ツールやOSによって信頼性を検証される。

 しかし、開発者は他のアプリケーションからIDを複製し、新しいアプリケーションのIDと組み合わせて証明書チェーンを作成できる。新しいアプリケーションに証明書チェーンを添付して、正規のアプリケーションを装うことが可能だ。元になった証明書によっては、不正アプリケーションが上位のアクセス権限を獲得してしまう場合もある。

 Androidは、他の多くのプラットフォームと同様に、署名によってアプリケーションパッケージを検証するコンポーネントを備えている。しかしFake IDは、この検証プロセスを崩壊し、証明書チェーンの信頼性を検証できないようにする。つまり、あるアプリケーションが別のアプリケーションの振りをして、端末にインストールされる可能性がある。

 この脆弱性は、Android 2.1(Eclair)からAndroid 4.3(Jelly Bean)に影響する。不正アプリケーションがどの程度まで上位権限を取得できるかは端末ベンダーやOSのバージョンによって異なる。

 米グーグルはこの脆弱性のパッチを4月にAndroid 4.4.4(KitKat)に適用し、OEM向けにも公開した。Android端末ユーザーは最新版Androidにアップデートすることが望まれるが、最新版にアップデートできない状況であれば、セキュリティソフトウエアを利用することを、マカフィーは勧めている。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら