マルウェア「DroidDream」を含むアプリ、公式 Android Market で一時配布される 21
ストーリー by reo
電気羊 部門より
電気羊 部門より
headless 曰く、
モバイルセキュリティ企業の米 Lookout が「DroidDream」と名付けたトロイの木馬型マルウェアを含むアプリが公式の Android Market でダウンロード可能な状態になっていたという。そのアプリ数は 50 個以上と言われており、通報を受けた Google が削除する事態となった (ケータイ Watch の記事、マイコミジャーナルの記事より) 。
DroidDream を含むアプリを実行すると、端末固有の情報や SDK のバージョンなどをサーバーに送信する。また、OS の脆弱性を突く 2 種類のコードにより root 権限を取得し、端末内で「com.android.providers.downloadsmanager」という名前のパッケージを検索する。パッケージが見つからない場合、もう 1 つのマルウェアをひそかにインストールするということだ (The Official Lookout Blog の記事) 。なお、DroidDream が使用する脆弱性は Android 2.3 (Gingerbread) では修正されている。
DroidDream は正規のアプリケーションを再パッケージ化する形で組み込まれ、「Kingmall2010」、「we20090202」、「Myournet」という名前の開発者がアップロードしている。仕組みとしては「HongTouTou」など、これまでに見つかったマルウェアと同様だが、公式の Android Market で無料アプリケーションとして公開されたため、ユーザーへの影響が大きくなっている。ちなみに、感染アプリケーション名の一覧は The Official Lookout Blog の記事で確認できる。
rootとれるのか (スコア:1, 興味深い)
HT03Aでうかつにアップデートしてからrootとれなくなってカナシイのでそっちのhack情報の方が欲しいとか思う
犯人特定をきっちりやってほしいですね (スコア:1, 興味深い)
Android用のセキュリティソフトが発表された矢先の事件ですし
誰の仕業なのか非常に興味があります
今後のためにも有耶無耶にせずキッチリ犯人特定してほしいですね
Re: (スコア:0)
Android用セキュリティソフトも別に最近な訳でなく、Lookout自体もセキュリティソフト提供してますよ。
スマフォ買ってからインストールしているので私は2010/4位からしか知らないですけど、
少なくともオクトバで捕捉 [octoba.net]してるのが2009/10/28。
#異常検出とかなかなかされないですが、毎週金曜日にメールレポート来るのでこれが来ると週末だなと言う認識をしてます。
Android 2.3(Gingerbread)では修正されている (スコア:0)
めざしてる、未来に行けない端末はずっと感染源のままなんでしょうか。それともAndroid Marketにアクセスできないから問題なかったりするんでしょうか。
# ガラパゴス種が外の世界で生きていけないってのはこういうこと
キャリア(メーカ?)の責任 (スコア:2, すばらしい洞察)
> 未来に行けない端末はずっと感染源のままなんでしょうか。
Androidを使っていてこれは気になるところ。
2年縛りとかをするのであれば
販売後2年間(発売後2年間じゃないよ)のセキュリティアップデートくらいは
保証するのがキャリアの責任だと思います。
現在の売りっぱなしは良くない。
なるほど、キャリアはキャリアでもウイルスキャリアだったのか (スコア:1, おもしろおかしい)
本文略
Re: (スコア:0)
一応、件の端末でもセキュリティアップデートはされていると思うんだが?
Re: (スコア:0, 興味深い)
で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
IS01を例にアップデートの履歴を見てもセキュリティの修正っぽいのは以下しか見つかりませんが。
http://www.au.kddi.com/seihin/up_date/kishubetsu/au_info_20100908.html [kddi.com]
via http://www.au.kddi.com/seihin/up_date/kishubetsu/index.html [kddi.com]
独自に修正を行ったというのならポインタを。
http:/ [blogspot.com]
Re:キャリア(メーカ?)の責任 (スコア:2, 興味深い)
>で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
Googleが公開している素のAndroid実装と、
大手メーカーが公開する端末インストール済Android実装では差異があります。
これは別にどこのメーカーでも同じです。
大手メーカーとGoogleは契約を結び非公開情報をやりとりしていますので、
たいていの場合、その時点での既存のバグのうち
root取得などにつながるバグはメーカー自身が修正してしまいます。
それに対して、Googleがインターネットで公開するAndroid汎用実装は
動作そのものによほど致命的なバグがない限りはそのままで、
メジャー/マイナーアップデートなどのタイミングでしか修正されません。
それが直接端末に組み込まれるものではなく、
あくまでも試験用、開発用、参照用のためだからです。
ですので今回の件で言えば、
Googleが2.2.2を公開する以前よりこのバグは知られており、
知られている段階で大手メーカー端末の多くは修正済みと言うことになります。
root取得ツール側も当然この穴を狙った実装を組み込んできているわけですから、
「端末単体でのroot取得ツールを使えなくて困る」
「しかたないからPCとデバッグ接続してroot取得するしかない、もしくはそれでもroot取得できない」
という端末は、そのほぼすべてが
この穴をふさいでいると認識してよいでしょう。
このような運用のため、
たとえば表面上は同じバージョンのAndroidを採用している端末同士でも
なにかしらのroot取得ツールが使えたり使えなかったり、
新しいファームウェアに更新すると使えなくなったり、といった事例が非常に多く発生します。
# ただし、いわゆる中華Android端末など
# 開発側が何も考えずGoogleの汎用実装を組み込んだだけ、
# などの場合は穴がそのままの場合もあり得ます。
Re:キャリア(メーカ?)の責任 (スコア:2, 興味深い)
いや、それならそれで「この件はウチには関係ありません」ってアナウンスがないのは困るでしょ。
情弱※からマニアックなユーザまで様々な層に浸透しつつあるAndroidなんだし利用者が不安なままで居ることを強いるのはどうかと思うよ。
ちなみにIS01がメジャーアップデートは行わないけど、root取れる脆弱性は変わらず潰してるってのはしってる。
※ Twitterで#IS03ハッシュタグを付けて無関係なことをRTしてる輩がうざいのでこう表現。
宛#1913824
http://b.hatena.ne.jp/kaito834/android/ [hatena.ne.jp]
より
ですって。
こんな脆弱性の番号?あるんだろうか。
Re: (スコア:0)
>いや、それならそれで「この件はウチには関係ありません」ってアナウンスがないのは困るでしょ。
大きな話題になる最初の一回目ですから、
予防線を張る意味でもアナウンスくらいはあってもいいかもしれませんね。
ただ、root取得につながる手法は数多くあり、もちろん未知のものもあります。
逆説的ですがroot取得できる魅力的な機種は穴がある機種ということですので、
メーカーが必死に潰す裏でクラッカーは必死にクラックしようと日々研究しています。
そこで発見されていくrootへの新しい穴を取り込みつつ
日々増えていくマルウェアの新種や亜種に対して
特定時点で「ウチは大丈夫です」
Re: (スコア:0)
#1914029 の
>おそらく1年程度後には、各キャリアの各Android端末にはケータイの内蔵アンチウイルス機能のような実装が含まれ
>月額数百円で有効化することができるようになっているとともに、
>その他サードパーティーの売り切り制セキュリティスイートも導入可能になっているでしょう。
ですが、シマンテックなどがすでに売り切り制のセキュリティスイートを正式発売し、
キャリアに対しての導入提案をはじめていることは承知の上での記述です。
言いたいこととしては、キャリア公式のセキュリティ機能が導入されることで
「ウチは大丈夫です」のコントロールをキャリアが取り戻すでしょう、ということです。
Re: (スコア:0)
Re:キャリア(メーカ?)の責任 (スコア:1, 興味深い)
>で、たとえば今回のマルウェアが突く脆弱性は修正されているので?
詳細は知らないがニュースが出て来た様な時点てほとんど何処も対応していないのが対応されていないと言って、それを「売りっぱなし」の根拠には出来ないだろ。
それだと全てのソフトが入っている機器は新しいセキュリティホールが見つかった時点で、対処が無いんだから「売りっぱなし」になる。
そういうのを議論に乗せるなら有る程度古い事象での対応率とかを見ないとダメでしょ。
Re: (スコア:0)
http://itpro.nikkeibp.co.jp/article/NEWS/20110307/358018/ [nikkeibp.co.jp]
ここにあるように、Googleはアプリケーションをリモート削除できるらしいので大丈夫なのでは?
勝手に削除されたりするのはちょっと怖いんですが
Re:Android 2.3(Gingerbread)では修正されている (スコア:2)
Update: We originally reported that Google removed the apps from devices, but we recently learned that the remote removal system has not yet been engaged for these applications because they are under active investigation.
てあるので、まだリモートから消すことはできないみたい。
Re: (スコア:0)
ファイル群にも対応してくれるかと言えば、それは難しいでしょう。
一度感染したならOSの再インストールを実施した上でGoogleアカウントの見直しって感じになるのでしょうね。
Re: (スコア:0)
auのIS01の事でしょうか?
あれはすでに独自で穴を塞いでいるので、既存のexpliotによるrooted方法は使えませんよ。
# でも、バグを潰すと叩かれるauとシャープ
# こういう事もありますし、メーカとしては正しいと事をしているだけだと思うんですがね
最初の1行ぐらいちゃんとした日本語にしてほしい (スコア:0)
最初Lookoutがマルウェアを配布してたのかと思った。
Re: (スコア:0)
同じく