マカフィーは19日、アプリの識別情報をコピーして別のアプリに偽装できるAndroidの「Fake ID」脆弱性に注意を喚起した。同脆弱性は最新のAndroid 4.4には影響しないが、Android 2.1(Eclair)から4.3(Jelly Bean)では発見が難しく、警告なども発せられない。
Fake ID脆弱性は、アプリの電子証明書をコピーし、コピー元のアプリになりすますことができる脆弱性。Androidはアプリの電子署名がそのアプリと適合しているかを確認することでアプリを検証するが、Fake ID脆弱性は検証プロセスを破壊し、証明書を検証できない状態にする。
この脆弱性を悪用しアプリを作成した場合、例えばコピー元の信頼性が高いと、悪意あるアプリが本来よりも高い権限でシステムや他のアプリにアクセスする危険性がある。
Fake ID脆弱性は最新のAndroid 4.4にアップデートすることで防げるが、OSアップデートはキャリアや端末に依存するため、同社はユーザー個人での対処は難しいとする。同社は、Fake ID脆弱性をチェックする仕組みを備えたGoogle Playなど、信頼できる場所からのみアプリをインストールすることに加え、同社の新ツール「Fake ID Detector」の利用などを勧めている。