Google、スマホなど向けOS「Android」の2017年12月度のセキュリティーパッチを提供開始!署名済みアプリに悪意のコードを埋め込めてしまう脆弱性「Janus」などが修正



Androidのバグを悪用することで署名済みアプリに悪意のコードを埋め込めてしまう脆弱性が修正!

Googleは4日(現地時間)、同社が開発するスマートフォン(スマホ)やタブレットなど向けプラットフォーム「Android」における2017年12月度のセキュリティーパッチを提供開始したとお知らせしています。

すでにAndroidのオープンソース版「AOSP(Android Open Source Project)」のほか、Googleブランドの「Nexus 6P」や「Nexus 5X」、「Nexus Player」、「Pixel」シリーズ向けには順次OTAも配信開始されおり、ファクトリーイメージも公開されています。

これにより、40件の脆弱性が修正され、その中には署名済みの信頼できるアプリに悪意のあるコードを埋め込める脆弱性、通称「Janus」が含まれていました。Janusは、今回修正された脆弱性の中でも一番タチが悪く、非常に大きなセキュリティーインシデントを発生させる原因となるものでした。


Janusは、攻撃者がAPKファイルに対して、悪質なDEX(Dalvik Executable:単一のAPKファイルに圧縮されたAndroidプログラム内のコードを構成する)ファイルをAPKファイルの署名に影響を当たることなく挿入できてしまう脆弱性です。

この脆弱性はGuardSquareのCTOを務めるEric Lafortne氏によって今年初めに発見された脆弱性(CVE-2017-13156)で、Googleには今年の7月に報告していました。

悪用するとアプリ配信マーケット「Google Playストア」などで評判の良いアプリに悪意のあるコードを埋め込ませることによって「検証済みのアプリだからインストールしても大丈夫」とユーザーに誤認させマルウェアを感染させることができてしまいます。

署名済みの信頼されたAPKファイルであればどれでも良いため、オンラインバンキングアプリやSNSクライアント、システムユーティリティーアプリに混入させ、感染者数を莫大なスピードで増やせるケースが想定できるとLafortne氏は説明しているようです。

この脆弱性で混入されたDEXファイルは、アプリと同じシステム権限を持つため、オンラインバンキングのログインIDとパスワードや、Twitterのダイレクトメッセージなどが傍受されることもできてしまいます。


今回の脆弱性はAndroid 7.0(開発コード名:Nougat)より古いバージョンでかつ、APK署名スキームv1をサポートしているすべてのAndroid搭載製品が影響を受けます。そのため、2016年7月に導入されたAPK署名スキームv2をサポートするように更新されたAndroid搭載製品であれば、この脆弱性の影響を受けることはありません。

本来APKファイルへの署名は、APKファイルの完全性を強化し、不正に改ざんされることを防ぐことを目的として導入されているだけに、今回の脆弱性はその根幹を揺るがしかねません。ユーザーにとってもAPKファイルの署名の信頼性が下がってしまうと、何を持って信頼済みで安心できるアプリであるか、何を信用してインストールするアプリを選べば良いのか分からなくなってしまいます。

2016年7月に導入されたAPK署名スキームv2をサポートするように更新された機種であれば、今回の脆弱性の影響を受けませんが、必ずしも新しい機種を使っているわけではありませんし、機種への更新パッチを提供するメーカーの対応もまちまちなため、ユーザー自身で今すぐ解決できない問題が山積しています。

このような脆弱性がなくなればどれだけ良いことか、と思いますが世の中に100%脆弱性が存在しない、100%欠陥が存在しない、100%安全な物などこの世に存在しないので、こればかりは何を言っても仕方ありませんね。

記事執筆:YUKITO KATO


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Android Security Bulletin-December 2017  |  Android Open Source Project
・Google Developers Japan: Android Studio 2.2 の APK パッケージングを理解する

共有する

関連記事

【気になるトレンド用語】急性Wii炎の次は? 現代人を襲う″現代奇病ファイル″

現代人を襲う奇妙な病気は、日に日に増えるばかりだ。インターネット症候群、サザエさん症候群のほか、マウスのクリックの繰り返しで指を痛める「パソコン指けんしょう炎」など、一昔前なら考えられなかった病気が次から次にニョキニョ…

【知っ得!虎の巻】これでファイル転送の達人!データ圧縮の賢い活用

メールでファイルを添付して送る場合、ファイル容量が大きいと、送信に時間がかかったり、相手のメールサーバの受信条件によっては容量オーバーで受信できなかったりする。また、複数のファイルがある場合は、1つ1つ添付するのは大変な…

【知っ得!虎の巻】同じアプリケーションのグループ化を解除!タスクバーをわかりやすくしよう

アプリケーションを起動したり、フォルダを開いたりすると、デスクトップにウィンドウが開く。これらの起動しているウィンドウは、タスクバーにボタンとして表示され、現在起動しているウィンドウとしてタスクバー上で確認できるように…

【気になるトレンド用語】Google、Yahoo!に挑む「百度」の表と裏

インターネットで一番利用するサービスといえば“検索”ですね。検索サイトは、調べたい単語を入力するだけで、膨大なインターネット上にある関連サイトや関連ニュースなどの情報を調べてくれるとても便利なサービスです。先日マイクロソ…

【IT革命児】就職したいIT企業の上位!Googleの教祖「ラリー・ペイジ」

世界的に有名な検索サイト「Google」は、1998年9月、ラリー・ペイジ(現製品部門担当社長)とサーゲイ・ブリン氏(現技術部門担当社長)の2人によって共同で設立された。以来、サイトのターゲット検索を中心に事業拡大を続け、今では世…