Androidの「マスターキー」セキュリティー欠陥チェックツールが公開される 40
ストーリー by headless
公開 部門より
公開 部門より
Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが(/.J記事)、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された(
eSecurity Planetの記事、本家/.)。
Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもので、Bluebox Securityでは「マスターキー」のセキュリティー欠陥などと呼んでいる。その後、セキュリティー企業viaForensicsの研究者による実証コードも公開されている(本家/.記事)。Googleではこの脆弱性を修正するパッチを3月に同社のOEMおよびパートナー企業に提供しているとのことで、すでに修正済みのAndroidを搭載した端末も存在する模様。
Bluebox Security ScannerはAndroid 2.3.3以降に対応。実行すると未修正バージョンでは「Unpatched/vulnerable」、修正済みバージョンでは「Patched」と表示される。手元にあった3台の端末で試してみたところ、Android 4.1.2の端末は修正済み、Android 2.3.6とAndroid 3.2.1の端末は未修正だった。
Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもので、Bluebox Securityでは「マスターキー」のセキュリティー欠陥などと呼んでいる。その後、セキュリティー企業viaForensicsの研究者による実証コードも公開されている(本家/.記事)。Googleではこの脆弱性を修正するパッチを3月に同社のOEMおよびパートナー企業に提供しているとのことで、すでに修正済みのAndroidを搭載した端末も存在する模様。
Bluebox Security ScannerはAndroid 2.3.3以降に対応。実行すると未修正バージョンでは「Unpatched/vulnerable」、修正済みバージョンでは「Patched」と表示される。手元にあった3台の端末で試してみたところ、Android 4.1.2の端末は修正済み、Android 2.3.6とAndroid 3.2.1の端末は未修正だった。
これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
というオチはない?
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
アプリのレビューにNexus 7(と4だったか10だったか)が未パッチというのがありました。
これが釣りアプリならさすがに脆弱性の恐怖を煽る相手は選ぶんではないかなという気が。
RYZEN始めました
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
これに限らず 一般的に,どこらへんを見てアプリを信用したらいいの? というのは 常々ありますね.
GooglePlayにも データ抜き取り系のマルウェアアプリが,とかって話は 時々聞きますし.
公式アプリなんかでも,発行元を見ると『この会社,どこ…?』っていうのがよくあります.
//例を出すと,つい最近では 某酪農系アニメの公式アプリ とか.
//放送元じゃなくて アプリ開発元の下請けの名前で出てるので,
//GooglePlayのページだけだと 信頼性が判断できないよなあ,と.
皆さん どうやって信頼性を判断されてるんでしょう?
名の知れた情報サイトとか からリンクを辿ってきたら ある程度は信頼できるのかなあ…(試してるんだから 人柱も立ってるし),
くらいの もやっとした判断方法じゃあちょっとな…;と思ってます.
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
アンドロにはNoRootファイアウォールっていう革命的なアプリがあってだな。
作者は日本人っぽいし権限も最小限。
ルート取らなくても、開発環境上のエミュレーションで無くても、通信周りの挙動を把握できる。
とにかくアウトバウンドを止められるので許可・拒否出来れば流出は無い。
アドウェアの為にインバウンドは許可してやればいいのに、とか余計な心配をしてしまうが・・・。
不要な筈の不審な通信があったら、通信先をWhoisすればいい。
使えない端末もあるけどね。VPNが壊れてるHTC系が駄目っぽい。
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:2)
それは全通信をその作者に送っているということでしょうか。
それはそれで怖いな。
Re: (スコア:0)
そんなハイスペックなサーバねえよ
Re: (スコア:0)
いや、ローカルで鯖立ててそれとVPNしてる。
作者は日本人。
Re: (スコア:0)
「作者は日本人」が信頼性の担保になってると思ってるバカがいる、
Re: (スコア:0)
国内法が及ぶかは大事でしょ。
Re: (スコア:0)
そのころはインターネット自体が無かったから(会社のネットワーク内とかを除いて)流失すること自体がなかった
Re: (スコア:0)
データ流失といえばWinGroove事件とかありましたねぇ
Re: (スコア:0)
へー、2000年以前にフリーソフトとかなかったんだ
Re: (スコア:0)
署名すらされていないアプリばかりだったね。
Re: (スコア:0)
Internetがはじまったのはi-phoneからですよ
Re: (スコア:0)
自分だけが痛い目を見るか、他人を巻き込むかはだいぶ違うかなと。
Windowsでは自分や他人の個人情報(正確な氏名、電話番号、メールアドレス、住所、誕生日etc...入り)を入れてるケースも統一されたAPIも少なかったですからね。
# もちろん、 MAPI [microsoft.com]/WAB API [microsoft.com]でメールアドレスを収集してという物もありましたが。
ちゃんとしている方や法人だと「フリー(無料)ソフトウェア使用禁止」とか、システムを構築・媒体制限・媒体やネットワークを隔離・暗号化等で適切なアクセス制限を構築してると思います。
それにSSL証明書と一緒で電子署名されたところで悪意あるソフトウェアで無いという保証はありません。
バイナリが改竄されて署名者(ソフトウェア作者とは限らない)が署名したバイナリと同じ動作をする事が確認できる程度でしょうか。
少し前に
Re: (スコア:0)
先日死亡報道があった金子さんがどういうソフトを開発していたのか、そのネットワーク上で何でもかんでもつまみ食いするバカが何を起こしたのか知らないの? 一時は連日のように報道されてたんだけど。
# ちなみに報道されなくなっただけで事故は今でも起きてる。
Re: (スコア:0)
インターネットを破壊するとか大口叩いた割には何も残せなかったよね彼
Re: (スコア:0)
捏造おつかれ
Re: (スコア:0)
結局「どこらへんを見てアプリを信用したらいいの?」という質問に対しては「不可能。諦めろ。以上」って答えでいいの?
Re: (スコア:0)
一応、Bluebox Security Scannerの要求するパーミッションは
・ネットワーク通信(ネットワークへのフルアクセス)
だけみたいなので、
・Google Playに登録してあるアプリは全て利用していないことを確認済み(Google曰く)
・Google Playからこのアプリをインストール
したのであれば、この脆弱性は叩かれてないと考えて良いのでは?
念の為いくつかの手元デバイスで確認しましたが、CM10.1(7/8より後のビルド)、CM10(7/7より後のビルド)では
このアプリではパッチ済みでした。
CM7.2系(2.3/Gingerbreadベース)未満のデバイスが不安ですが。
こんな事が出来るかな? (スコア:1)
この脆弱性を利用すると、非rooted端末で(普通はroot権限を持たない)他アプリからは見れないアクセス権を設定していても改竄して認証情報を盗み見したり、ローカルストレージを改竄してセーブデータ書き換えしたりとか、常駐する権限等を持つ他のアプリに寄生して自分は死んだふりを出来るとか便利そうです。
セーブデータ改造ツールみたいな名目で機能実現と一緒にウィルスを仕込むといったソーシャルハックを仕掛けたりとか。
# 脆弱性を直さないほうがメリットがあると解れば、端末のファームウェア更新するのを止める人も出るでしょうし。
木馬に選ぶなら例えばFacebookアプリとかプリインストールで機種によっては削除不能(4.0未満では無効化も無い)だったり、ログアウト時でも常駐する、多大なROM/RAM容量使うのでちょっと大きくなったり遅くなった位じゃ解らないし、多大なアクセス許可を要求するので感染させるターゲットには最適かも。
第二候補はAdobe Flash Playerかな、同じくプリインストール端末が有り、Googleアカウント未設定以外にもGoogle Playの更新一覧に出てこないので旧バージョンで放置されたままな端末が多い事が期待出来るので。
# Android端末をお持ちの方でAdobe Flash Playerを最新(2013/07/09提供の11.1.111.64)にし忘れている人は./にも居る気がします。
# Flash Playerインストール済み属性の付いたアカウントでログインしないと"ページが見つかりません"とか返すように [google.com]したり、マイアプリの一覧に表示しない、Google Playの仕様自体が大問題な気がするのですが、Nexus 4でも直ってないPPTP VPNバグ [google.com]と同じぐらい放置されるのかなー
Re: (スコア:0)
facebookやflashよりG+でいいじゃない
それこそどんな端末にもシステムアプリとして入り(nexus系であっても)通信しても何も疑われない
Re:こんな事が出来るかな? (スコア:1)
Google+は後発故に
・シェアが少ない事
・プリインストールされた端末は比較的最近の物に限る事
・上記故に新しくてファームウェアの更新が未だ活発であろう事
といった辺りで外しました。
Re: (スコア:0)
>・プリインストールされた端末は比較的最近の物に限る事
そうでしょうか? 私がもっているdocomoのxperia arcは android.2.3ですが、ある時期のアップデートでgoogle+がインストールされるようになりました。
2011年2月発売の端末なのでスマホの世界では古い部類に入ると思います。
誰でも思うこと。 (スコア:0)
「これは安全なの?」
要求している権限はネットワークアクセスだけなので、個人情報、端末情報、位置情報などは安全。
通信OFF及び、任意にOFFできない端末では機内モードなどにして実行すれば確実に安全。
「問題があってもどうしようもなくね?」
端末メーカーが修正パッチを出してくれないと根本的にはどうしようもないが、
このアプリでは悪意のあるアプリのスキャン機能もある・・・が、これがどうやって判定してるのかはいまいち不明。
(多分、ソフトウェア署名と証明書の署名が違っている場合警告してくれるのだと思うが、そうなのかどうか。)
googleのパッチは出ないの? (スコア:0)
この脆弱性を根本的に治すには、Androidにパッチをあてる必要があるだろうけど、googleはそれを出さないのか。
出ても、個々のデバイスまで配布するような方法がないか。ほとんどのデバイスメーカーはパッチ配布してないし。
Re:googleのパッチは出ないの? (スコア:1)
Googleは何ヶ月も前に出してるけどそれを採用しない無能なメーカーに文句を言いましょう
Re: (スコア:0)
99%のAndroid機に存在する脆弱性と聞いて、今のそのままを信じてる人が多いようだけど、最近発売されたものは修正されてるのが多いよ。
Re: (スコア:0)
発売時には修正されていても、それ以降に修正の方法がないのが問題なのではないでしょうか。
なので結局、その99%の問題が修正されても、ほとんど全部のAndroid機器に脆弱性は残ってるように想像する。
Re: (スコア:0)
それ以降に修正の方法が無いとは、どこから発生したデマ何でしょうか?
Re: (スコア:0)
メーカーがパッチ配布しないだろ。ほとんどはしない。俺の奴は去年の夏以降ない。1年間でどれほどの脆弱性が見つかってるのだろう。windowsで1年間何もしないと100程度のパッチが出ていそう。
Re: (スコア:0)
あまりにメーカーが何もしないと、結局Googleが直接端末に配信して、メーカーを介さないのがいいモデルになってしまうんだろうなあと。
Androidは終わり (スコア:0)
ちょっとしたセキュリティパッチも安定して提供できないビジネスモデルが長続きするとは思えない。
Re: (スコア:0)
Android端末は国内メーカー製なら必ずセキュリティパッチを配布してくれるようになっていると、前にスラドでやけに自信満々で書いてた人がいたんだが・・・。
その内充ててくれるにしろ、Googleへの報告からもう半年近く経っているわけなんだよなぁ。
対応は義務なのか? (スコア:0)
現状ほとんどが端末売り切りビジネスなのに、
金にならない過去機種メンテなんかやってられないんだろうね。
これを義務付けるとメンテコストを計上しておかなきゃならないから、新規開発の値段に上乗せされることになる。
思うに、そのために技術者が使役されるだけでなく、メンテを前提とした開発を半ば強制されるわけで、
自由な技術の進歩を阻害しかねない。
過去機種への対応を前提とするのか、
あきらめる(新機種へ買い替えてもらう)か、
どちらが世の中としてのメリットになるのか・・・明確ではないよね。
買い替えができない層も一定数あるだろうから、
機能制限した安全なケータイ(ガラケーとかラクラクなんとかとか)を使ってもらうのもいいよね。
そのための「ユニバーサルサービス制度」を考え始める時期なんじゃないかな。
Re:対応は義務なのか? (スコア:1)
セキュリティパッチなら数年前の機種でも長々とやってくれますよ。
例えばSDXCmicroSDカード非対応機種でむりやり使うとデータが飛ぶ問題はほとんどの国内販売機種で対策取られたはず。
キャリア主導型の販売モデルはよく批判の的になりますが、こういうメリットもあるんではないかと。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
つPL法
というか、メンテ出来ないものを製造販売してよいって、
技術云々以前に社会にとって害悪でしょう。