ハッカーが既存の正規アプリを取得したり、有効なデジタル署名を使用して更新したりできたらどうなるでしょうか。 Android スマートフォン上のあらゆるものにアクセスする悪意のあるトロイの木馬として使用するためにそれを変更するか、 タブレット? モバイルセキュリティスタートアップの研究者が電話をかけてきたとき Bluebox セキュリティが明らかに Android デバイスの「99 パーセント」に影響を与えるまさにそのような脆弱性を特定したということで、Web 上でテクノロジーに関する見出しが大きく取り上げられました。 しかし、心配する必要がありますか?
何が問題ですか?
「この脆弱性は、少なくとも Android 1.6 (コード名:「Donut」) のリリース以降、過去 4 年間にリリースされたすべての Android 携帯電話に影響を与える可能性があります」と Bluebox CTO の Jeff Forristal 氏は説明しています。 会社のブログに投稿する. 同氏は続けて、「ハッカーはこの脆弱性を悪用して、データの盗難からモバイルボットネットの作成に至るまで、あらゆることを行うことができる」と指摘した。
おすすめ動画
この欠陥により、ハッカーは正規のアプリを変更したりアップデートしたりできるが、安全であることを証明するデジタル署名は保持できるため、APK (Android アプリケーション パッケージ) ファイルが危険にさらされています。 偽のアプリを作成してパスワードを盗み、正規のデジタル署名を使用して、Android スマートフォンが Samsung、HTC、さらには Google 自体のような会社によって製造されたものであると認識させる可能性があります。 デバイスのメーカーや信頼できるパートナーは、Android システムへの特権アクセスを備えたアプリを作成しているため、悪意のあるものが携帯電話に便乗するリスクは非常に深刻です。
関連している
- Google I/O 2023 でぜひ見たい 5 つのこと(ただしおそらく開催されないでしょう)
- 安心してください。EU の恐ろしい USB-C 規則によって急速充電のメリットが奪われることはありません
- 2022 年の Android 向け最高の広告ブロック アプリ
これについては何が行われているのでしょうか?
Bluebox は 2013 年 2 月に Android セキュリティ バグ 8219321 を Google に明らかにしました。 Google はすでに Play ストアを更新しており、このエクスプロイトを使用する悪意のあるアプリをブロックするためのチェックが行われています。 Google はこのバグを Open Handset Alliance のハードウェア パートナーと共有し、一部のメーカーはすでにこのセキュリティ問題を修正するパッチをリリースしています。
マルウェアを回避するにはどうすればよいですか?
携帯電話を決してそばから離れないように注意し、アプリとアップデートのみをインストールする場合は、 Google Play の場合は、実際には危険にさらされていないため、心配する必要はありません。 悪用する。 自分が影響を受けていないことを確認したい場合は、次のページに進んでください 設定 > セキュリティ そして、「不明なソースからのインストールを許可する」ボックスがオフになっていることを確認してください。
私たちは次のことについて話し合いました Android アプリのセキュリティの基本 以前も、今でも適用されます。 現在、犯罪者は Google Play ストアを使用してこのエクスプロイトを使用したマルウェアを配布することができないため、アプリを安全にダウンロードできるようになりました。 少なくとも現時点では、他のソース (Samsung や Amazon のアプリ ストアであっても) からアプリやアップデートをインストールすることは避けるべきです。 サードパーティの Android アプリ ストアと Web サイト上の直接リンクが最も可能性の高い配信方法ですが、マルウェア 電子メール経由で受信したり、USB ケーブル経由でデバイスに転送したりすることもできます (携帯電話を コンピューター)。
「Android 上でマルウェアを拡散させる主な問題は、ユーザーに安全でないソースから何かをダウンロードさせてインストールさせることです」 (特定のサードパーティ マーケットまたは Web から直接)」と独立セキュリティ研究所 AV-Test の Maik Morgenstern 氏が述べています。 私たちに説明してくれました。 「報告された脆弱性は、マルウェア作成者にとっては何の役にも立ちません。 Google Play ストアで自分の作品を入手するのは依然として困難であり、たとえ成功したとしても、当然のことながら、自分のアプリはオリジナルの作者のアカウントに掲載されません。 [例:] トロイの木馬化されたバージョンを作成した場合 アングリーバードの場合、Rovio の下ではなく、マルウェア作成者名の下にリストされます。 したがって、ユーザーがこれらのトロイの木馬化されたアプリにつまずくことはほとんどありません。 ユーザーが Google Play ストアからのみアプリをダウンロードするのであれば、安全であるはずです。」
それで、リラックスしてもいいですか?
Android の問題は、Google が欠陥やハッキングの悪用を修正するための措置を講じることはできるが、システム全体のアップデートを展開できないことです。
「主な問題は、多くのメーカーのアップデート方針です」とモルゲンシュテルン氏は語った。 「古いデバイスはアップデートを受け取らなくなり(そのため、これらのデバイスは脆弱なままになります)、新しいデバイスのアップデートでさえ数か月かかる場合があります。」
アップデートをデバイスにプッシュ配信するかどうかは、個々のメーカーと携帯通信会社 (AT&T、Verizon、T-Mobile、Sprint など) にかかっています。 古い Android デバイスが取り残されるのはよくあることです。 危険にさらされている古いデバイスをお持ちで、Google Play に固執することに満足していない場合は、今後しばらくの間、危険にさらされる可能性があります。
2013 年 7 月 9 日更新: Bluebox からのアドバイス
この記事の公開後、Bluebox から連絡がありました。 彼らは、この脆弱性のリスクを軽減する最善の方法は、「特定の Android デバイス モデルについてデバイスのメーカーまたは携帯電話会社に確認すること」であるとユーザーに呼びかけています。 および OS バージョンを確認して、最近のアップデート/修正が利用可能になっているかどうかを確認します。」 また、修正が含まれているかどうかを確認するには、リリース ノートを確認する必要があるかもしれないとも指摘しています。 アップデート。 デバイスに適したものが見つからない場合は、当面は Google Play 以外から何かをインストールしないようにするよう勧められます。
Bluebox の CTO である Jeff Forristal は、次の講演でこの問題の技術的な詳細を発表する予定です。 ブラックハット USA 2013 月の終わりに。 主要な Android デバイス ベンダーがどのように反応するかはまだわかりません。 引き続きお知らせいたします。
記事の初版発行日は 2013 年 7 月 8 日です。
編集者のおすすめ
- この Lenovo Android タブレットを 120 ドルで手に入れるチャンスをお見逃しなく
- サイバーマンデーのおかげで、この iPad がどれほど安いのか信じられないでしょう
- Google は、Android アプリはもはや携帯電話だけのものではないことを知ってもらいたいと考えています
- Android 13 の最も優れている点は新しい機能や設定ではなく、別のものです。
- Android 13 を搭載した Pixel でワイヤレス充電が機能しませんか? あなたは一人ではありません
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
