パスワードを忘れた? アカウント作成
9445169 story
Android

Androidの「マスターキー」セキュリティー欠陥チェックツールが公開される 40

ストーリー by headless
公開 部門より
Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが(/.J記事)、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された( eSecurity Planetの記事本家/.)。

Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもので、Bluebox Securityでは「マスターキー」のセキュリティー欠陥などと呼んでいる。その後、セキュリティー企業viaForensicsの研究者による実証コードも公開されている(本家/.記事)。Googleではこの脆弱性を修正するパッチを3月に同社のOEMおよびパートナー企業に提供しているとのことで、すでに修正済みのAndroidを搭載した端末も存在する模様。

Bluebox Security ScannerはAndroid 2.3.3以降に対応。実行すると未修正バージョンでは「Unpatched/vulnerable」、修正済みバージョンでは「Patched」と表示される。手元にあった3台の端末で試してみたところ、Android 4.1.2の端末は修正済み、Android 2.3.6とAndroid 3.2.1の端末は未修正だった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年07月13日 16時24分 (#2420865)

    というオチはない?

    • アプリのレビューにNexus 7(と4だったか10だったか)が未パッチというのがありました。
      これが釣りアプリならさすがに脆弱性の恐怖を煽る相手は選ぶんではないかなという気が。

      --
      RYZEN始めました
      親コメント
    • これに限らず 一般的に,どこらへんを見てアプリを信用したらいいの? というのは 常々ありますね.
      GooglePlayにも データ抜き取り系のマルウェアアプリが,とかって話は 時々聞きますし.

      公式アプリなんかでも,発行元を見ると『この会社,どこ…?』っていうのがよくあります.
      //例を出すと,つい最近では 某酪農系アニメの公式アプリ とか.
      //放送元じゃなくて アプリ開発元の下請けの名前で出てるので,
      //GooglePlayのページだけだと 信頼性が判断できないよなあ,と.

      皆さん どうやって信頼性を判断されてるんでしょう?

      名の知れた情報サイトとか からリンクを辿ってきたら ある程度は信頼できるのかなあ…(試してるんだから 人柱も立ってるし),
      くらいの もやっとした判断方法じゃあちょっとな…;と思ってます.

      親コメント
      • by Anonymous Coward on 2013年07月13日 17時36分 (#2420891)

        アンドロにはNoRootファイアウォールっていう革命的なアプリがあってだな。
        作者は日本人っぽいし権限も最小限。
        ルート取らなくても、開発環境上のエミュレーションで無くても、通信周りの挙動を把握できる。

        とにかくアウトバウンドを止められるので許可・拒否出来れば流出は無い。
        アドウェアの為にインバウンドは許可してやればいいのに、とか余計な心配をしてしまうが・・・。
        不要な筈の不審な通信があったら、通信先をWhoisすればいい。

        使えない端末もあるけどね。VPNが壊れてるHTC系が駄目っぽい。

        親コメント
    • by Anonymous Coward

      一応、Bluebox Security Scannerの要求するパーミッションは
      ・ネットワーク通信(ネットワークへのフルアクセス)
      だけみたいなので、
      ・Google Playに登録してあるアプリは全て利用していないことを確認済み(Google曰く)
      ・Google Playからこのアプリをインストール
      したのであれば、この脆弱性は叩かれてないと考えて良いのでは?

      念の為いくつかの手元デバイスで確認しましたが、CM10.1(7/8より後のビルド)、CM10(7/7より後のビルド)では
      このアプリではパッチ済みでした。
      CM7.2系(2.3/Gingerbreadベース)未満のデバイスが不安ですが。

  • by kei100 (5854) on 2013年07月13日 23時24分 (#2421018)

    この脆弱性を利用すると、非rooted端末で(普通はroot権限を持たない)他アプリからは見れないアクセス権を設定していても改竄して認証情報を盗み見したり、ローカルストレージを改竄してセーブデータ書き換えしたりとか、常駐する権限等を持つ他のアプリに寄生して自分は死んだふりを出来るとか便利そうです。
    セーブデータ改造ツールみたいな名目で機能実現と一緒にウィルスを仕込むといったソーシャルハックを仕掛けたりとか。
    # 脆弱性を直さないほうがメリットがあると解れば、端末のファームウェア更新するのを止める人も出るでしょうし。

    木馬に選ぶなら例えばFacebookアプリとかプリインストールで機種によっては削除不能(4.0未満では無効化も無い)だったり、ログアウト時でも常駐する、多大なROM/RAM容量使うのでちょっと大きくなったり遅くなった位じゃ解らないし、多大なアクセス許可を要求するので感染させるターゲットには最適かも。
    第二候補はAdobe Flash Playerかな、同じくプリインストール端末が有り、Googleアカウント未設定以外にもGoogle Playの更新一覧に出てこないので旧バージョンで放置されたままな端末が多い事が期待出来るので。
    # Android端末をお持ちの方でAdobe Flash Playerを最新(2013/07/09提供の11.1.111.64)にし忘れている人は./にも居る気がします。
    # Flash Playerインストール済み属性の付いたアカウントでログインしないと"ページが見つかりません"とか返すように [google.com]したり、マイアプリの一覧に表示しない、Google Playの仕様自体が大問題な気がするのですが、Nexus 4でも直ってないPPTP VPNバグ [google.com]と同じぐらい放置されるのかなー

    • by Anonymous Coward

      facebookやflashよりG+でいいじゃない
      それこそどんな端末にもシステムアプリとして入り(nexus系であっても)通信しても何も疑われない

      • Google+は後発故に
        ・シェアが少ない事
        ・プリインストールされた端末は比較的最近の物に限る事
        ・上記故に新しくてファームウェアの更新が未だ活発であろう事
        といった辺りで外しました。

        親コメント
        • by Anonymous Coward

          >・プリインストールされた端末は比較的最近の物に限る事
          そうでしょうか? 私がもっているdocomoのxperia arcは android.2.3ですが、ある時期のアップデートでgoogle+がインストールされるようになりました。
          2011年2月発売の端末なのでスマホの世界では古い部類に入ると思います。

  • by Anonymous Coward on 2013年07月13日 16時49分 (#2420870)

    「これは安全なの?」
    要求している権限はネットワークアクセスだけなので、個人情報、端末情報、位置情報などは安全。
    通信OFF及び、任意にOFFできない端末では機内モードなどにして実行すれば確実に安全。

    「問題があってもどうしようもなくね?」
    端末メーカーが修正パッチを出してくれないと根本的にはどうしようもないが、
    このアプリでは悪意のあるアプリのスキャン機能もある・・・が、これがどうやって判定してるのかはいまいち不明。
    (多分、ソフトウェア署名と証明書の署名が違っている場合警告してくれるのだと思うが、そうなのかどうか。)

  • by Anonymous Coward on 2013年07月13日 19時05分 (#2420915)

    この脆弱性を根本的に治すには、Androidにパッチをあてる必要があるだろうけど、googleはそれを出さないのか。

    出ても、個々のデバイスまで配布するような方法がないか。ほとんどのデバイスメーカーはパッチ配布してないし。

    • by Anonymous Coward on 2013年07月13日 19時39分 (#2420921)

      Googleは何ヶ月も前に出してるけどそれを採用しない無能なメーカーに文句を言いましょう

      親コメント
    • by Anonymous Coward

      99%のAndroid機に存在する脆弱性と聞いて、今のそのままを信じてる人が多いようだけど、最近発売されたものは修正されてるのが多いよ。

      • by Anonymous Coward

        発売時には修正されていても、それ以降に修正の方法がないのが問題なのではないでしょうか。

        なので結局、その99%の問題が修正されても、ほとんど全部のAndroid機器に脆弱性は残ってるように想像する。

        • by Anonymous Coward

          それ以降に修正の方法が無いとは、どこから発生したデマ何でしょうか?

          • by Anonymous Coward

            メーカーがパッチ配布しないだろ。ほとんどはしない。俺の奴は去年の夏以降ない。1年間でどれほどの脆弱性が見つかってるのだろう。windowsで1年間何もしないと100程度のパッチが出ていそう。

            • by Anonymous Coward

              あまりにメーカーが何もしないと、結局Googleが直接端末に配信して、メーカーを介さないのがいいモデルになってしまうんだろうなあと。

  • by Anonymous Coward on 2013年07月14日 9時38分 (#2421084)

    ちょっとしたセキュリティパッチも安定して提供できないビジネスモデルが長続きするとは思えない。

    • by Anonymous Coward

      Android端末は国内メーカー製なら必ずセキュリティパッチを配布してくれるようになっていると、前にスラドでやけに自信満々で書いてた人がいたんだが・・・。
      その内充ててくれるにしろ、Googleへの報告からもう半年近く経っているわけなんだよなぁ。

  • by Anonymous Coward on 2013年07月14日 16時30分 (#2421164)

    現状ほとんどが端末売り切りビジネスなのに、
    金にならない過去機種メンテなんかやってられないんだろうね。

    これを義務付けるとメンテコストを計上しておかなきゃならないから、新規開発の値段に上乗せされることになる。
    思うに、そのために技術者が使役されるだけでなく、メンテを前提とした開発を半ば強制されるわけで、
    自由な技術の進歩を阻害しかねない。

    過去機種への対応を前提とするのか、
    あきらめる(新機種へ買い替えてもらう)か、
    どちらが世の中としてのメリットになるのか・・・明確ではないよね。

    買い替えができない層も一定数あるだろうから、
    機能制限した安全なケータイ(ガラケーとかラクラクなんとかとか)を使ってもらうのもいいよね。
    そのための「ユニバーサルサービス制度」を考え始める時期なんじゃないかな。

    • セキュリティパッチなら数年前の機種でも長々とやってくれますよ。
      例えばSDXCmicroSDカード非対応機種でむりやり使うとデータが飛ぶ問題はほとんどの国内販売機種で対策取られたはず。
      キャリア主導型の販売モデルはよく批判の的になりますが、こういうメリットもあるんではないかと。

      --
      一人以外は全員敗者
      それでもあきらめるより熱くなれ
      親コメント
    • by Anonymous Coward

      つPL法
      というか、メンテ出来ないものを製造販売してよいって、
      技術云々以前に社会にとって害悪でしょう。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...