is702

Android端末に設計上の不具合

2014/04/08

トレンドマイクロは4月7日、同社ブログで、「Android端末のアプリ更新での設計上不具合、中国のユーザに影響か。個人情報収集の恐れも」と題する記事を公開しました。同社がAndroid端末の設計上の不具合を確認し、既にGoogleにも報告したとのことです。

この不具合は、とくに中国のユーザへの影響が大きいと見られています。中国では、Google Playやサードパーティのアプリストアを経由せずに、直接アプリを更新するユーザが多くを占めます。こうした更新はアプリ内の更新機能を利用して実行され、APK(Android application package)ファイルを、一時的にSDカードといった外付記憶装置に保存する形になります。

調査によると、アプリをSDカードのような外付け記憶装置に保存する場合に、アプリに不正な細工が施されやすいことが判明したとのことです。例えば、この不具合により不正なアプリが正規のアプリの更新を乗っ取り、攻撃者が管理できる別のバージョンを起動させるといったことが可能になります。

一方Google Playでは、ストア内で入手できるアプリの更新版の配信を管理しており、正規のものかどうかを「Certificate check」を通じて確認しています。そのためトレンドマイクロでは、公式のアプリストアからアプリをダウンロードするなど、注意を払うよう呼びかけています。