米ベンチャー企業のBlueboxは7月3日(現地時間)、Android端末の99%に被害が及ぶ可能性があるセキュリティモデルの脆弱性を発見したと発表した。

この脆弱性を悪用することで、アプリの暗号署名を変更することなく、APKファイルのコードを改ざんすることができるため、正規のアプリもマルウェアにすることができる。

暗号署名は、アプリが製作者によって作られた正当なものであるか判断するために利用されており、通常は、暗号署名を変更することなく、アプリのソースコードを改ざんすることはできない。

Android端末メーカーなどが開発したアプリが改ざんされてトロイの木馬が仕込まれた場合、Android内でシステムUIDへのアクセスといった特別昇格権限が付与されているため、システムとすべてのアプリに対してフルアクセスが可能となってしまうという。

Blueboxは、実際に脆弱性を突いてHTC端末のアプリを改ざん。Baseband versionに表示される文字列に「Bluebox」を表示させている。

Blueboxホームページ

HTC端末のスクリーンショット

この脆弱性が存在するAndroidは1.6以降の全バージョンとなっており、全Android端末の99%、約9億台が危険にさらされているという。2月の時点でセキュリティバグはGoogleに報告されており、端末メーカーからファームウェアアップデートがそれぞれ行われる予定。

Blueboxによると、この脆弱性に関する詳細な情報や関連ツールなどは、アメリカで行われる「Black Hat USA 2013」で公開する予定としている。