株式会社シマンテックは2013年8月25日、デジタル署名を有効なまま正規Androidアプリを改変可能な、脆弱性「マスターキー」を悪用する事例を確認、意喚起しました。

この脆弱性は、Androidアプリのコードが改変されていない、正規デベロッパーが提供、などを保証するデジタル署名に関するものです。Android 1.6以降の端末に存在しますので、市場に出回る99%のAndroid端末に影響すると言われています。

シマンテックでは今回、病院を検索して予約できる2種類の正規アプリにおいて、この脆弱性が悪用されていることを確認しました。これらアプリはいずれも中国のAndroidマーケットプレイスで公開されているものです。

サードパーティーのアプリ公開サイトでは、同様の攻撃で感染した4つのAndroidアプリが公開されていることも確認しています。人気のニュースアプリ、アーケードゲーム、カードゲーム、ギャンブルアプリの4つで、いずれも中国語です。

シマンテックでは、AndroidマーケットプレイスからAndroidアプリを収集して自動的に解析する「ノートンモバイルインサイト」において、脆弱性を悪用されたアプリを発見し、同社は問題のあるアプリを「Android.Skullkey」として検出しています。

シマンテックでは、攻撃者が今後もこの脆弱性を悪用すると予測した上で、アプリは信頼のおけるAndroidアプリマーケットプレイスからのみダウンロードしてほしい、と呼びかけています。

記事URL

シマンテック公式ブログ
http://www.symantec.com/connect/blogs/android-18