Bluebox の Android アプリ署名の欠陥を悪用する初のマルウェアが発見される

Bluebox Security が Google の Android にデバイスを「ゾンビ ボットネット」に変える可能性のある重大な欠陥の発見を最初に発表してからわずか 3 週間後、Symantec はこの脆弱性を利用する不正なアプリを発見したと報告しました。

7月初旬、ブルーボックス公開されましたこの欠陥のニュースは、使用されているほぼすべての Android デバイスに影響を及ぼしました。

Googleは「この件についてはコメントを拒否」したが、すぐに自社のGoogle Play市場でこの問題を悪用しようとするアプリの配布を阻止する措置を講じた。ただし、Android の主要な機能の 1 つは、ユーザーが他のストアからソフトウェアをインストールできる「オープン性」です。

その自由は今では義務に変わっています。研究者らはこの脆弱性の悪用方法を実証する「試験管」アプリをすぐにリリースしたが、シマンテックは今回、この欠陥を悪用しようとする世に出ている最初のマルウェアを特定し、Googleが数百万台の脆弱なデバイスにパッチを適用することが極めて困難であることを明らかにした。

結局のところ、ポスト PC デバイスにはシマンテックの役割がある

新しい報告, シマンテックは「悪用が容易なため、この脆弱性がすぐに悪用されると予想しており、実際にその通りになった」と述べた。「彼らは正規のアプリケーションを自由に乗っ取ることができ、賢明な人でも、アプリケーションが悪意のあるコードで再パッケージ化されたことを見分けることはできませんでした。」 - シマンテック

同社はノートン モバイル インサイト ツールを使用して「何百ものマーケットプレイス」から Android アプリをスキャンしており、火曜日に最初に 2 つのアプリを発見しました。

どちらも（上に表示）「医師の検索と予約を支援するために中国の Android マーケットプレイスで配布されている正規のアプリケーション」でした。

翌日、シマンテックは「同じ攻撃者によって感染し、サードパーティのアプリサイトで配布されている」汚染されたアプリをさらに4つ特定した。悪用されたアプリには「人気のニュースアプリ、アーケードゲーム、カードゲーム、賭博・宝くじアプリ」が含まれており、いずれも中国人ユーザーをターゲットにしていた。

発見されたマルウェア アプリは、正規のアプリを秘密裏に改変したバージョンであり、オープン ソース コミュニティの全眼が検出できなかった Android セキュリティ システムの長年の欠陥のおかげで、ほとんどの Android デバイスは汚染を検出できません。

マルウェア収益化のために武器化され、欠陥によって促進される

以前はシマンテック社説明した「正規のアプリに悪意のあるコードを挿入することは、しばらくの間、悪意のあるアプリの作成者による一般的な戦術でした。」

ただし、「以前は、アプリケーションと発行者の名前の両方を変更し、トロイの木馬化されたアプリには独自のデジタル署名を使用する必要がありました。」

これらの変更により、汚染されたアプリが見つけやすくなります。アプリの署名。 「アプリの詳細を調べた人は、そのアプリケーションが正規の発行者によって作成されたものではないことを即座に認識できた」とセキュリティ会社は説明した。

新たに発見された Android の欠陥により、「攻撃者はこれらのデジタル署名の詳細を変更する必要がなくなりました」。これは、「攻撃者は正規のアプリケーションを自由に乗っ取ることができ、賢明な人でもアプリケーションが悪意のあるコードで再パッケージ化されたことを認識できないことを意味します。」

iOS アプリもハッキングされる可能性がありますが、Apple のアプリ署名セキュリティは、汚染されたアプリを特定し、動作をブロックするように機能します。 Apple の App Store は、組織がそのようなアプリの安全な暗号化に署名するために独自のセキュリティ認証情報を配布する必要があるカスタム開発以外のサードパーティ ソフトウェアの唯一のソースとしても機能します。

Android アプリは日常的に、インストール前にさまざまな機能に対する膨大で不必要かつ不適切な権限を要求し、その過程でほとんどのユーザーは検査せずにクリックスルーします。シマンテックが発見した野生のマルウェアは、両方のアプリをコードで改ざんし、「リモートからデバイスを制御したり、IMEI や電話番号などの機密データを盗んだり、プレミアム SMS メッセージを送信したり、いくつかの中国製モバイル セキュリティ ソフトウェア アプリケーションを無効にしたりできるようにする」利用可能な場合は root コマンド。」

その後同社は、「Android.Skullkey」と呼ばれるマルウェア ペイロードも、デバイスの連絡先にあるすべての電話番号にスパム テキスト メッセージを送信し、受信者に宛てたカスタマイズされたメッセージでマルウェア Web サイトの URL に誘導するように設計されていることを発見しました。名前。

Apple の iOS 6 では、アプリがユーザーの許可なしに連絡先にアクセスしたり、ユーザーにメッセージを送信したりすることは許可されていませんが、Android アプリはインストール前に広範な機能に対する大量の不要かつ不適切な許可を日常的に要求しており、その過程でほとんどのユーザーは検査せずにクリックスルーします。 。

このような広範かつ不必要な権限要求の例は、先頭から始まります。プラットフォームで最も人気のあるアプリである Facebook for Android は、連絡先や通話中の電話番号を監視する機能など、インストール前に広範な権限へのアクセスを要求します。

今月初め、人気のアプリはつかまったユーザーの電話帳全体を収集して、ソーシャル ネットワークの広大なグラフに予告なしにアップロードし、その後、サイト上で「何らかのつながりを持つ」他のユーザーと情報を「共有」します。

Android の最大ライセンシーであるサムスンも、同社の主力製品である「安全」な Galaxy S4 および Note 2 携帯電話を宣伝する「無料」の Jay Z アプリを今月リリースしましたが、以下の条件が付いています。要求されたアクセスユーザーの正確な GPS 位置情報、ユーザーの連絡先やソーシャル ネットワーク アカウントへのアクセス、ユーザーが使用したアプリや電話番号に関する統計情報などです。

Facebook と Samsung はどちらも、Google が自社のプラットフォームが機能するように意図した方法で Android を使用しているだけです。今年初め、その後、報告されましたGoogle Playはサードパーティの開発者に対し、アプリを購入する人の名前、住所、メールアドレスを送信していたが、「この情報が実際に転送されているという兆候はない」という。

Googleの対応は、ジャーナリストがこの問題を「欠陥」と認定したことに腹を立て、ユーザーが気づかないように、この件に関する見出し、記事、SEOからこの慣行に関する不愉快な記述を削除するよう出版社に求めた。問題が発生し、それに関する情報を検索できません。