McAfee、"Fake ID"脆弱性を悪用するアプリを検出するツールを無償公開

米McAfeeは、Android OSに最近発見された"Fake ID"と呼ばれる脆弱性について、脆弱性を悪用するアプリを検出するツール「Fake ID Detector」を公開した。

 Fake ID脆弱性は、セキュリティ企業の米Blueboxが7月29日に報告した、不正アプリが正規アプリになりすますことができるAndroidの脆弱性。個々のアプリは固有の識別情報(電子証明書)を持っているが、攻撃者は別のアプリの電子証明書をコピーし、新しいアプリの電子証明書と組み合わせて証明書チェーンを作成することで、正規アプリのふりをすることが可能になる。

 Fake ID脆弱性は、Android 2.1からAndroid 4.3までの広い範囲に影響があり、脆弱性が悪用された場合には、端末からデータが漏えいしたり、悪意ある行為が行われたりする可能性がある。

 McAfeeでは、Fake ID脆弱性を悪用するアプリを検出するアプリ「Fake ID Detector」を無料で公開した。

 McAfeeではFake ID脆弱性への対策として、Android端末を最新OSのバージョン4.4.4に更新することを挙げているが、これは端末メーカーや通信キャリアの対応に依存する。このため、OSを最新バージョンに更新できない場合には、Fake ID Detectorを利用してほしいとしている。

 また、アプリは信頼できる場所からのみインストールすることが重要であり、Googleは既にこの脆弱性攻撃をアプリが含むかどうかを、アプリ公開前にチェックする仕組みを用意していると説明。信頼できないアプリストア、特にメールやSMSメッセージなどのリンクからアプリをインストールすることは避けるよう、注意を促している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140819_662675.html