Bluebox SecurityのBluebox Labsは、Androidバージョン1.6 Donutが2009年にリリースされてから存在するAndroid Bugを発見しました。Androidはオープンソースプロジェクトです。 これにより、アプリを開発してPlayストアまたはサードパーティのAppストアで販売することができます。 Googleは、ユーザーがデジタル署名している間は安全にアプリを保護しますが、サードパーティのアプリストアからアプリをダウンロードしようとすると、デバイスの安全性が簡単に低下する可能性があります。
これが実際にどのように行われるのか、またこれがどのようにしてデバイスのハッキングにつながるのかを見てみましょう。
Androidの脆弱性:
Androidアプリケーションは、アプリをインストールしたときにシステムが記録する暗号化署名を使用します。 アプリをさらにアップデートするには、同じ暗号化署名が必要です。 ハッカーはこの合法的な暗号化シグニチャでアプリを使用し、悪意のあるコードを追加してアプリを変更し、信頼性の低いサードパーティのアプリストアを使用して配布することができます。 ユーザーが新しいバージョンのアプリをインストールすると、新しいアプリはトロイの木馬として動作し(それが存在しないことを装って)、ハッカーの意図とAndroidシステムによってアプリに与えられた許可に基づいて、アプリは多数のアプリを制御できます。システムの重要な領域
ハッキングまたは侵害される可能性があるもの
Bluebox Securityの研究者によると、ハッカーはデバイスを脱獄し、すべてのシステム機能にアクセスし、任意の正規のアプリをトロイの木馬にすることができるボットネットを作成することができます。 さらに、これらのトロイの木馬や悪意のあるアプリは、パスワード、アカウント情報、クレジットカードやデビットカードの情報をデバイスから取得したり、電話、SMS、Eメール、カメラ、マイク機能などのハードウェア、さらにはオペレーティングシステムを制御します。
関連項目: 5つの最高の写真、ビデオ、Android用ファイル隠しアプリ
誰がこの脆弱性の影響を受けますか
Jelly beanを含むAndroidバージョン1.6以降で動作する9億以上のAndroidデバイス(タブレットと電話)。 GSMarenaによると、このバグを修正した唯一のデバイスはSamsung Galaxy S4です。
Googleはこの問題にどのように対処していますか。
グーグルは、グーグルの開発者とデバイス製造者がこの不具合を認識していることを認め、すぐにパッチがこの問題を今後のソフトウェアアップデートで修正するであろうと認めた。
グーグルはまた、この脆弱性を悪用する可能性のある既存のアプリがグーグルプレイ上に存在しないことを確認しました。グーグルはプレイストア上のこれらの種類のアプリを扱う一方で、細心の注意と安全対策を用います。
予防は治療よりも優れています。
Androidバージョン1.6以降(Galaxy S4を除く)を実行しているすべてのAndroidデバイスにこのバグがあるため、ユーザーは、割れたアプリ/有料アプリを無料またはフリーウェアで提供する信頼できないサードパーティのアプリストアからアプリをダウンロードしないでください。 デジタル署名によるとアプリは安全に見えるかもしれませんが、元のコードに悪質なコードが埋め込まれている可能性があります。
安全で信頼に値するアプリストアからインストールされていないアプリでクレジットカード/デビットカードやアカウント情報を使用しないでください。
そして最後になりましたが最も良いアンチウイルスアプリをインストールし、アンドロイドのシステム設定の下でセキュリティの未知の市場からのアプリのインストールオプションのチェックを外し、無料版に比べてより多くのセキュリティ機能を提供
遅かれ早かれデバイス製造業者がバグにパッチを当てようとしている、新しいソフトウェアアップデートをチェックし続けなさい。
画像提供:thehackernews
