「Android」のパッケージインストーラに潜む脆弱性の詳細が明らかに

Natalie Gagliordi CBSNews 翻訳校正: 編集部

2015-03-25 12:39

 Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」が、GoogleのモバイルOS「Android」内に潜む、現在は解決されている脆弱性「Android Installer Hijacking」に関する詳細を明らかにした。

 この脆弱性はAndroidの「PackageInstaller」システムの欠陥を突くものだ。この欠陥を悪用すれば、攻撃者はユーザーによって安全だと判断されたサードパーティー製アプリのインストールプロセスを乗っ取り、該当アプリをインストールするためのパッケージファイルをマルウェアに感染したファイルで置き換えられるようになる。

 例えば、Android機器の持ち主が正規バージョンの「Angry Birds」をインストールしようとした際、攻撃者はそのプロセスを乗っ取り、マルウェアを仕込んだ「Flashlight」アプリをインストールすることもできる。これにより攻撃者は、ユーザー名やパスワードをはじめとする、漏えいしては困るような個人情報すべてにアクセスできるようになる。

 Unit 42は、脆弱性を含んだAndroidのバージョンを修正するために、Googleのほか、サムスンやAmazonといったAndroid機器メーカーと協力したという。

 Googleによると、同社のAndroidセキュリティチームはユーザーの機器に存在する同脆弱性を悪用しようとする試みは確認できておらず、「Android 4.3」以降のバージョンには同脆弱性のためのパッチが含まれているという。しかしPalo Alto Networksは、バージョン4.3の中にも脆弱性を抱えたままになっているものがあると警告している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]