Symantec |
2013年7月に入ってから市場に出荷されているAndroid搭載デバイスのほとんどが影響を受ける脆弱性があることが複数のメディアから報道された。これが具体的にどのような脆弱性であり、どういった対処をとるべきかがトレンドマイクロセキュリティブログに「99%の Android端末に影響する脆弱性 - トレンドマイクロ製品、既に対応」として掲載された。
Android上のアプリケーションはデジタル署名を持っている。アプリケーションのアップデートには同一のデジタル署名が必要になるため、提供者以外が不正にアプリケーションの書き換えを実施できない仕組みになっている。今回明らかになったのはこのデジタル署名に関する処理に不具合があり、デジタル署名がなくてもアップデートできてしまう可能性があるというもの。
ブログでは現在Googleが対応を進めており、脆弱性への対応が実施されるまではGoogle Play以外からアプリケーションをインストールすることを避けるべきだと指摘しているほか、同社のプロダクトはすでにこの脆弱性を利用するアプリケーションを検出できるようになっていると説明している。