Google の Android セキュリティ モデルで新たに発見された欠陥により、不正アプリが Android システムとインストールされているすべてのアプリに完全にアクセスし、デバイス上のすべてのデータを読み取り、パスワードを収集し、「常時接続、常時接続、常時接続」のボットネットを作成できるようになります。移動中のスパイデバイスは、密かに記録しながらユーザーの位置を追跡します。
サンフランシスコの Bluebox Security によって発見されたこの広範囲にわたる脆弱性は、含まれる「Android アプリケーションの暗号検証とインストール方法に矛盾があり、暗号署名を破ることなく APK コードの変更が可能になる。」「このエクスプロイトの影響を受けたデバイスは、ボットネットの一部になり、マイクで盗聴し、データを第三者にエクスポートし、データを暗号化して人質にし、デバイスを別のネットワークへの足がかりとして使用する可能性があります。接続されている PC を攻撃したり、プレミアム SMS メッセージを送信したり、ターゲットに対して DDoS 攻撃を実行したり、デバイスをワイプしたりできます。」
Android アプリ (「APK」としてパッケージ化されている) は、悪意のある当事者によるコードの変更を防ぐために、(iOS アプリと同様に) 暗号化キーで署名されています。署名付きアプリは、システムが改ざんや変更を検出できるように明示的に設計されています。
しかし、新たに発見された Android の欠陥により、不正な開発者がシステムをだまして、侵害されたアプリがまだ正規であると思わせ、事実上あらゆることを実行できるシステム全体へのアクセスを与える可能性があります。
「このエクスプロイトの影響を受けたデバイスは、ボットネットの一部になる、マイクで盗聴する、データを第三者にエクスポートする、データを暗号化して人質にする、デバイスを他人として使用するなど、コンピュータの悪意の領域であらゆることを行う可能性があります。別のネットワークへの踏み台、接続されている PC への攻撃、プレミアム SMS メッセージの送信、ターゲットに対する DDoS 攻撃の実行、デバイスのワイプなどです」と同社の代表者は書いている。AppleInsider。
この欠陥は Android 1.6「Donut」のリリース以来存在しており、過去 4 年間に販売された事実上すべての Android デバイス、つまり Eclair、Froyo、Gingerbread、Honeycomb、Ice のすべての Android デバイスのインストールベースに影響します。クリームサンドとジェリービーン。
この脆弱性を悪用して侵害されたアプリは、システム リソースへの広範なアクセスが許可された正規のアプリのように見える可能性があります。 Bluebox は、多くの Android ライセンシー独自のアプリ (HTC、Samsung、Motorola、LG のアプリなど) および多くの VPN アプリ (Cisco の AnyConnect など) には慣例的に「Android 内で特別な高い特権 (具体的にはシステム UID) が付与されている」と指摘しています。アクセス。"「最も不安なのは、これらの『ゾンビ』モバイル デバイスの常時接続、常時接続、常に移動する (したがって検出が難しい) 性質をハッカーが利用してボットネットを作成する可能性です。」
Android のアプリ署名モデルをバイパスしてそのようなアプリに代わった後、不正なマルウェアは「Android システムおよび現在インストールされているすべてのアプリケーション (およびそのデータ) への完全なアクセス」を取得できます。
これは、アプリが「デバイス上の任意のアプリケーション データ (電子メール、SMS メッセージ、ドキュメントなど) を読み取り、保存されているすべてのアカウントとサービスのパスワードを取得できるだけでなく、基本的に電話の通常の機能を引き継ぐことができる」ことを意味します。およびその機能を制御します (任意の電話をかける、任意の SMS メッセージを送信する、カメラをオンにする、および通話を録音する)。
ブルーボックス氏はさらに、「最後に、そして最も不安なことは、これらの「ゾンビ」モバイル デバイスの常時接続、常時接続、常に移動する (したがって検出が難しい) 性質をハッカーが利用して、ボットネットを作成します。」
修正すべき大きな欠陥、9億回のファームウェアアップデートが必要
Bluebox は 2013 年 2 月に Google と Open Handset Alliance のメンバーにこの脆弱性を明らかにしましたが、同社は「モバイル デバイス用のファームウェア アップデートを作成およびリリースする(さらにユーザーがこれらのアップデートをインストールする)のはデバイス メーカーの責任である」と述べています。これらのアップデートが利用できるかどうかは、対象のメーカーやモデルによって大きく異なります。「Android マルウェアのエコシステムは、Windows を取り巻くものに似てきています。」
これまでのところ、Android ライセンシーはユーザーにアップデートを展開するのが非常に遅く、重要なセキュリティ パッチさえも配布することを拒否することがよくあります。
Android のセキュリティ上の欠陥が対処されていないことが、Android を世界をリードするマルウェア用モバイル プラットフォーム、その支持者の多くが単に認識することを拒否した問題。ただし、この新しい脆弱性は、Android ユーザーをさらに危険にさらすことを意味します。Android ユーザーは、正規の開発者によって署名されたアプリさえ信頼できなくなるからです。
セキュリティ企業 F-Secure が 5 月に指摘したように、「Android マルウェアのエコシステムは Windows を取り巻くエコシステムに似てきている」とのことです。
Bluebox はこの脆弱性について詳しく説明する予定です。ブラックハット USA 2013最高技術責任者のジェフ・フォリスタル氏によるセッション。
部分的な封じ込め、Googleはそれについて話すことに前向きではない
アップデート:ある報告によるコンピューターワールドサムスンは、その主力製品である Galaxy S4 という 1 つのデバイスの問題を修正するパッチを組み込んでいることを指摘しています。記事では、フォリスタル氏が「GoogleはまだNexus端末向けのパッチをリリースしていないが、同社はパッチに取り組んでいる」と述べたと記している。
「グーグルはこの件についてコメントを拒否した」と報告書は付け加えた。 「オープン・ハンドセット・アライアンスはコメントの要請に応じなかった。」
ただし、Google は Google Play の欠陥を悪用したアプリの配布をブロックしました。ただし、ユーザーがだまされて、もともと Google Play 経由でインストールされたアプリの悪意のあるアップデートを手動でインストールさせられた場合、そのアプリは置き換えられ、新しいバージョンは操作できなくなります。アプリストアを使って。」
すでに販売されている数億台の Android デバイスのアップデートの問題に対処し、コンピューターワールド「Android エコシステムにおけるパッチの配布の遅さは、セキュリティ研究者と Android ユーザーの両方から長い間批判されてきました。
「モバイル セキュリティ会社 Duo Security は、Android 脆弱性評価アプリ X-Ray を通じて収集した統計に基づいて、昨年 9 月に次のように推定しました。Android デバイスの半数以上が脆弱です少なくとも 1 つの既知の Android セキュリティ欠陥に影響します。」
Isamu 
Isamu 
Isamu