正規Androidアプリを乗っ取る「マスターキー」の脆弱性が悪用される

 株式会社シマンテックは25日、デジタル署名を無効化することなく正規のAndroidアプリを改変できる、通称「マスターキー」と呼ばれる脆弱性を悪用する事例を確認したとして注意喚起した。

 この脆弱性は、Androidアプリのコードが改変されていないことを証明し、正規のデベロッパーが提供していることを保証するデジタル署名に関するもの。Android 1.6以降の端末に存在するため、市場に出回る99%のAndroid端末に影響すると言われている。

 シマンテックでは今回、病院を検索して予約できる2種類の正規アプリにおいて、この脆弱性が悪用されていることを確認。アプリはどちらも、中国のAndroidマーケットプレイスで公開されている。
脆弱性が悪用されたアプリ

 サードパーティーのアプリサイトでは、同様の攻撃で感染した4つのAndroidアプリが公開されていることも確認。アプリの種類は人気のニュースアプリ、アーケードゲーム、カードゲーム、ギャンブルアプリの4つで、いずれも中国語。

 シマンテックによれば、攻撃者はアプリを取得して、デバイスのリモート制御、IMEIや電話番号といった情報の窃取などを可能にするコードを追加。いくつかの中国製セキュリティアプリがインストールされている場合、ルートコマンドでそれらのセキュリティアプリを無効化することも確認した。

 シマンテックでは、AndroidマーケットプレイスからAndroidアプリを収集して自動的に解析する「ノートンモバイルインサイト」において、脆弱性を悪用されたアプリを発見。同社は問題のあるアプリを「Android.Skullkey」として検出している。

 シマンテックは、攻撃者が今後も、この脆弱性を悪用すると予測。その上で、「アプリは信頼できるAndroidアプリマーケットプレイスからのみダウンロードしてほしい」と呼びかけている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130726_609245.html