今回発見された欠陥は、「fake ID」と名づけられています。
fake IDはAndroidアプリをインストールする際に、悪意のあるアプリにもかかわらず正規の信頼できるアプリとして偽装してインストールさせるというものです。
今回の欠陥は、Androidのパッケージインストーラがデジタル証明書を検証する方法に起因します。
デジタル証明書は、基本的にはその発行元を検証しアプリに署名します。
問題は、Androidがインストールされるアプリが正当なものかどうかを発行元に確認していないことです。
悪意のあるアプリはAndroidがアプリ発行元にアプリの正当性を確認しないことを利用して、正規のアプリの証明書を模倣することでAndroidデバイスをだまし、正規のアプリとしての権限と合法的なアプリのハードウェアアクセス権を有していると思わせます。
今回の欠陥はアプリのみに限定されるものではない、深刻なセキュリティな問題となります。
例えば、GoogleウォレットやPayPalといったアプリに模倣した場合、個人の財務に直接アクセスする権限をその模倣アプリを作成したハッカーに与えることになり、支払いに関する情報や個人情報等を盗まれる事態となります。
BlueBoxは、今年3月にfake IDの報告書を作成しGoogleに報告しました。
4月には、Android開発チームがfake IDの修正版を開発してメーカーに送っています。
メーカーは、BlueBoxが今回の発表をするまでに90日間の修正の猶予がありましたが、BlueBoxが40台のメジャーなAndroidデバイスをチェックしたところ、fake IDの修正が行われていたのはたった1社のみだったとのことです。
fake IDは、現時点ではまだ全く利用されていませんが、今回の発表を受けてハッカーがfake IDの実行を試みるのは時間の問題だと指摘されています。
また同時に、今回の発表によってメーカーの迅速な修正アップデートも期待されます。
ただ、今後も未知の重大な欠陥をついたアプリがGoogle Playストアにリリースされる可能性はあります。
最終的には、アプリをインストールするユーザーがインストールする前にそのアプリが正規のものかどうかをしっかりと判断するという慎重な行動が、今後より一層必要になってくるのではないでしょうか。
source:Bloomberg Businessweek