MasterKey
#8219321
CVE-2013-4787
MasterKey と呼ばれる Google Android OS の脆弱性は、2013年に発見され、アプリケーションのインストール中に .APK ファイルの内容をスキャンして処理するオペレーティング システムの機能を悪用します。この脆弱性を悪用する犯罪者は、正規のアプリケーションを装って悪意のあるプログラムを攻撃対象のモバイルデバイス上にインストールすることができます。ソフトウェアパッケージに悪意のある機能が仕掛けられた際に、デジタル署名の整合性が保たれるようにソフトウェアパッケージを変更できるため、インストールは可能となります。そのため、インストール中に、Android OSはそれを変更されていないものとみなします。
この脆弱性は、Android OSを狙う一部のトロイの木馬によって悪用されます(例えば、 Doctor Webのスペシャリストによって発見されたマルウェア Android.Nimefas.1.origin など)。このトロイの木馬は、攻撃者から受け取ったコマンドを実行することができます (例えば、SMSの送信や受信、SMSの傍受、ユーザーの電話帳からの連絡先などやモバイルデバイスに関する情報の取得)。
Dr.Web Anti-virus for Androidは、攻撃対象デバイス上にMasterKey脆弱性を悪用するマルウェアのインストールが試みられる時点で、それを検知し、削除するため、Dr.Web アンチウイルス製品のユーザーはそのようなトロイの木馬プログラムから確実に保護されます。
詳細な情報
Google Android OS用のプログラムのディストリビューションファイルは、拡張子 ".APK" を持つファイルであり、基本的には通常の ZIP アーカイブとなります。 各アプリケーションには特別なデジタル署名があり、アーカイブに含まれるファイルのチェックサムのリストも含まれており、アプリケーションのインストールプロセス中にアーカイブから抽出されたすべてのオブジェクトがそれと照合して検証されます。検証に失敗した場合には、アプリケーションのインストール時にエラーが発生します。
.APK ファイル形式の基礎として使用される ZIP アーカイブ形式では、同じ名前を持つ2つの異なるファイルを同じサブディレクトリに配置できます。 同時に、アプリケーションのインストールプロセス中に、Android OSは最初のファイルのチェックサムをチェックし、アーカイブから2番目のファイルを抽出してインストールします。
こうして、オペレーティングシステムによる ZIPp アーカイブの解釈および処理機能の特徴を悪用する攻撃者は、デジタル署名を損なうことなく、しかも、ユーザーが知らないうちにプログラムのディストリビューションファイルに悪意のある実行ファイルを挿入できます。