The page may not load correctly.
#9695860
Extra Field — Google Android の脆弱性であり、攻撃者がデジタル署名を損なうことなく、このOS用のアプリケーションのインストールパッケージの内容を変更できるようになります。この脆弱性を利用して、ウイルス作成者は正規または信頼できるアプリケーションに悪意のあるコンポーネントを仕掛けることにより、トロイの木馬を配布することができます。
この脆弱性は、OS自体のレベルで検出されるため、Dr.Web Anti-virus for Androidはこの脆弱性を駆除できません。しかし、保護されるデバイスにてマルウェアの仕掛けおよぼ実行が試みられる時点で、この脆弱性により配信されるマルウェアを検知し駆除します。
Google Android OS用のアプリケーション配信は、アプリケーションの動作に必要なすべてのコンポーネントを含む ZIP アーカイブである .APK ファイルの形式で配布されます。プログラムのインストールプロセス中に、それらはアーカイブから抽出され、そのチェックサムが特別なリストと照合されます。各アプリケーションには独自のデジタル署名があります。
攻撃者はExtra Fieldという脆弱性を悪用して、APK アーカイブの構造を変更できます。そのサービスフィールドに、プログラムの元のコンポーネントの1つの値 (特に、classes.dexファイル) を追加します。最初の3バイトを削除し、同時にこのファイルの変更バージョンの代わりに配置すると、後者はオペレーティング システムによって正規のものとして認識され、インストールが許可されます。確かに、この脆弱性の悪用は、dexファイルのサイズ (65,533バイト以下である必要がある) によって制限されています。しかし、攻撃者は、適切なサイズを有するプログラムまたはゲームを悪用し、脆弱性を用いるリスクがあります。
class.dexファイルには、APKファイル内にコンパイルされたアプリケーションコードが含まれています。APKパッケージのヘッダーには、拡張子 ".dex" を持つファイルの名前を保存するスペースと、classes.dex ファイルの内容とアプリケーションで使用されるクラスのリストを保存するエクストラフィールドと呼ばれるフィールドが含まれています。ヘッダーフィールドが3バイト短縮されると、対応するフィールドの長さが変更され、攻撃者がエクストラフィールドに元の classs.dex だけでなく、このファイルの悪意のあるコピーの一部を配置することもできます。変更されたフィールドには、悪意のある機能を実行する攻撃者によって作成されたクラスが含まれる可能性があります。アプリケーションをインストールするときに、オペレーティングシステムはこのフィールドの内容を読み取り、その結果、攻撃者によって変更されたclasses.dexファイルが攻撃されたデバイスにインストールされます。