セキュリティ調査会社BlueBoxは、犯罪者がほぼすべてのAndroidスマートフォンに完全にアクセスできる「マスターキー」を発見したと主張している。
BBC:
このバグを悪用されると、攻撃者はデータの盗難、盗聴、迷惑メッセージの送信など、携帯電話に対して望むことを何でも実行できる可能性がある。
この抜け穴は、2009 年以降にリリースされた Android オペレーティング システムのすべてのバージョンに存在していました。
GoogleはBlueBoxの発見報道に関してBBCへのコメントを拒否した。
ジェフ・フォリスタル氏は、ブルーボックスのブログへの投稿で、この発見が及ぼす影響は「非常に大きい」と述べた。
この脆弱性は、少なくとも Android 1.6 (コードネーム:「Donut」) のリリース以降存在しており、過去 4 年間にリリースされたすべての Android スマートフォン (約 9 億台のデバイス) に影響を及ぼす可能性があります。また、アプリケーションの種類によっては、ハッカーがデータの盗難からモバイル ボットネットの作成まで、この脆弱性を悪用する可能性があります。
Android OSは、アプリやプログラムが正規のものであり、改ざんされていないことを確認するために、暗号署名を使用しています。BlueBoxの開発者は、Androidがこの署名をチェックする際に、アプリへの悪意のある変更を検知されないよう巧妙な方法を発見したと報じられています。
アプリの改変版は、正規版と同じようにデバイスにアクセスできます。
モバイルセキュリティ企業Lookoutの主席セキュリティ研究者マーク・ロジャース氏は、この攻撃とAndroidアプリを侵害する能力を再現できたと述べた。
Google はこのバグについて報告を受けており、この方法で改ざんされたアプリを見つけて停止するためのチェックシステムを Play ストアに追加したと報じられている。
Android ユーザーは少し安心できるだろう。今のところ、この脆弱性がサイバー犯罪者によって使用されているという証拠はないからだ。
