編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

Androidの脆弱性「Certifi-Gate」、Google Play認可アプリに潜んでいたことが明らかに

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 川村インターナショナル

2015-08-26 15:54

 セキュリティ企業Check Pointが発見した「Android」関連のセキュリティホール「Certifi-Gate」が出回っていることが明かされた。さらに悪いことに、Check Pointによると、Certifi-Gateは「Google Play」で認可されたアプリケーションに潜んでいるという。そのアプリケーションとは、Invisibility Ltd.の「Recordable Activator」だ。

 Recordable Activatorは、Android上でスクリーンキャストの録画を可能にするプログラム。この機能を実現するため、Recordable ActivatorはAndroidのパーミッションモデルを迂回(うかい)して、遠隔操作ソフトウェア「TeamViewer」の脆弱性のある古いプラグインを使用することで、システムレベルのリソースにアクセスし、デバイスのスクリーンを録画する。「Android 5.0 Lollipop」がリリースされるまで、標準のAndroidアプリケーションプログラミングインターフェース(API)でこの機能を実現するのは不可能だった。

 TeamViewerはCertifi-Gateセキュリティホールを修復済みだ。Recordable Activatorは、同プログラムの古いバージョンを利用して構築されているため、スクリーンに表示されたあらゆるものを録画する攻撃に対して無防備である。

 Check Pointによると、TeamViewerは、「Recordable Activatorがプラグインを使用する仕組みはコードの使用法に違反しており、当社はサードパーティーがTeamViewerのコードを使用することを認めていない」と主張しているという。今回の一件を説明すると、Invisibilityは、古いTeamViewerユーザーモジュールのCertifi-Gateセキュリティホールを利用することで、Recordable Activatorがルートアクセスなしにスクリーンを録画できるようにしたということだ。

 PC Worldの報道によると、Recordable Activatorの開発者は2015年4月にこの脆弱性を発見したという。この開発者は、TeamViewerのコードを使用すれば非常に簡単にスクリーンを録画できること、そして、TeamViewerのカスタマーモジュールをサードパーティーソフトウェアで使用することを同社が明示的に認めていることを理由に、その脆弱性を利用した。

 Googleは米国時間8月25日、Recordable ActivatorをPlay Storeから削除した。同プログラムは、サードパーティーのAmazonアプリストアで「EASY screen recorder」という別名でも公開されている。

figure_1

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]