多種多様な候補から自分好みの端末を選択でき高度なカスタマイズが可能、それがAndroidの魅力であり強みです。しかし、その自由度の反面わかりにくさを指摘されることも少なくありません。このコーナーでは、そんな「Androidのここがわからない」をわかりやすく解説します。今回は、『「なりすましアプリ」に備えるには?』という質問に答えます。
***
最近、Android OSに「Fake ID」と呼ばれる脆弱性が確認されました。Android OSのバージョン2.1(Eclair)から4.3(Jelly Bean)を使用している場合、この脆弱性を突く悪質なアプリを利用すると、他のアプリになりすまされ、個人情報の漏えいやその他の不利益をこうむる可能性があります。
Androidアプリは、それぞれに固有の識別情報(電子証明書)を持っています。識別情報はアプリのパッケージ(.apkファイル)が偽造されたものでないことの証であり、それが確認されればそのアプリのふりをすることができます。Fake IDを利用した"なりすましアプリ"は、システムの脆弱性を突いて他のアプリの識別情報を入手し、そのアプリの権限で動作します。なりすまされたアプリの信頼レベル次第では、個人情報抜き取りを上回るダメージを与えることすら不可能ではありません。
この脆弱性はAndroidのシステムに起因するため、Fake ID対策が施されているバージョン(4.4.4)以降へのアップデートが必要です。しかし、Android OSのアップデートは端末を扱う通信キャリアやGoogleのOEMメーカーに任されているので、すべての端末が更新できるわけではありません。
アップデートできない端末の場合は、Fake IDの検出機能を備えたアプリを使う方法があります。たとえば、McAfeeが無償配布するセキュリティアプリ「Fake ID Detector」を利用すれば、Fake IDの脆弱性を突いたアプリを検出することができます。