マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

Fake ID

#13678484

"Fake ID"と呼ばれるこの脆弱性により、悪意のあるアプリケーションが、偽のデジタル署名または不正アクセスされたデジタル署名を使用して、正規で信頼できる Android アプリケーションになりすますことが可能になります。この脆弱性を悪用すると、危険な機能を実装するトロイの木馬プログラムが攻撃対象のデバイス上にインストールされ、起動される可能性があります。

この脆弱性は、Google Android OS バージョン 2.1 ~ 4.4 において、未修正のエラー "13678484" が発生したデバイス上で発見されました (一部のスマートフォンやタブレットのメーカーは、専用アップデート(パッチ)をリリースしてこのエラーを修正しました)。

Dr.Web Anti-virus for Android は、攻撃対象デバイス上にこの脆弱性を悪用するマルウェアのインストールが試みられる時点で、それを検知し、削除するため、Dr.Webアンチウイルス製品のユーザーはそのようなトロイの木馬プログラムから確実に保護されます。

詳細な情報

Google Android OS用のアプリケーションはデジタル署名されています。この署名は、別の署名(親署名(発行者の署名))に関連付けることができます。 この場合、いわゆる公開鍵アーキテクチャ (Public Key Infrastructure, PKI) が署名の生成に使用されます。PKIインフラストラクチャ内には、アプリケーションに用いられるデジタル証明書を発行する認証局が存在します。特定のシステムに対して該当認証局が信頼できるとみなされる場合、その認証局が発行する全ての証明書(デジタル キーを含む電子文書)も信頼できるものとみなされ、その所有者も信頼できるものとみなされます。

デジタル署名は、Androidのセキュリティ構造において重要な役割を果たします。デジタル署名のおかげで、アプリケーションを更新できるかどうか、どのプログラムがこのアプリケーションとデータを共有できるか、プログラムでどの API 関数を使用できるかなどがシステムによって決定されます。アプリケーションの署名をチェックする際には、署名作成者の公開鍵が使用されますが、そのためには、認証局の証明書をチェックして、この公開鍵の正当性を検証する必要があります。これにより、いわゆる「証明書チェーン」が作成されます。Fake ID脆弱性の場合、アプリケーションのインストール時に、脆弱なAndroid OSバージョンのセキュリティシステムは証明書チェーンの信頼性を検証しようとしません。従って、攻撃者は、例えば、信頼できる認証センターに代わって偽の証明書を作成し、この証明書を使用してアプリケーションに署名し、追加のチェックなしでアプリケーションをシステムにインストールできる危険性があります。

このような脆弱性の悪用例としては、攻撃者が2つの証明書 (Adobe Systems認証局によって発行された本物の証明書と偽の証明書) を用いて署名したアプリケーションが挙げられます。このようなアプリケーションをインストールする場合、Androidパッケージインストーラーは証明書チェーンをチェックせず、両方の証明書を使用するアプリケーションの署名を作成します。このようなアプリケーションは、インタラクティブな Flash 要素を再現するための WebView コンポーネントとして他のアプリケーションにより使用される可能性があり、システム上で特別な権限を持ちます。これを悪用する攻撃者は WebView プラグインを使用して他の Android アプリケーションに悪意のあるコードを挿入することができます。

See also information about other vulnerabilities