シマンテックは10日、米Bluebox Securityが公開したAndroidにおける深刻な脆弱性についての解説を、同社ブログで発表した。デジタル署名を改変せず悪質なコードを実行することで、アプリを通じて知らぬ間に重要な機能を実行される恐れがあると紹介している。
既報の通り、Bluebox Securityが発見した脆弱性を利用すると、攻撃者はデジタル署名を無効化することなく、正規のアプリに悪質なコードを紛れこませることができる。
Androidではアプリごとに挙動の許可が必要となるため、位置情報の送信や連絡先情報へのアクセスなど重要なタスクを実行するには、挙動の許可をユーザー側が承認する仕様となっている。同社ブログでは、この「デジタル署名」が、アプリ内のコードが改変されていないことを証明し、コードが正式な発行者から提供されたものであることを保証すると説明する。
正規のアプリに悪質なコードを入れ込む手口は以前から行われていたが、従来はアプリと発行者の名前を両方とも改ざんし、トロイの木馬を仕掛けたアプリにも独自のデジタル署名を付ける必要があった。従って、アプリの詳細を調べると、そのアプリが正規の発行者によって作成されたものではないことがすぐに判明していた。
しかし、今回発見された脆弱性を悪用すると、攻撃者はこのデジタル署名の詳細情報を改ざんする必要なく、正規のアプリ内に悪質なコードを隠し、既存の許可を利用することで、アプリを通じて重要な機能を実行できるようになる。
同社はこの脆弱性を検出するロジックを同社のマルウェア検出システム「ノートン モバイルインサイトシステム」に追加しているが、10日時点でこの脆弱性を悪用した攻撃は確認されていないという。ただし、意図せずに利用しているアプリは多数発見しているとする。
エントリーは、「この脆弱性を発見したBluebox Security社に謝意を表します」と締めくくられている。