米GoogleのAndroidOSに、一見安全に見えるAndroidアプリケーションが
インストールの過程で改ざんされたりマルウェアに入れ替えられたりする恐れのある脆弱性が発見され
米セキュリティ機関のUS-CERTが3月24日に注意を呼び掛けた。
この脆弱性はセキュリティ企業のPaloAltoNetworksが同日のブログで明らかにしたもので
同社は「Androidインストーラ乗っ取り」と命名。
2015年3月現在でAndroidユーザーの49.5%が影響を受けると推定している。
PaloAltoNetworksによると、攻撃者がこの問題を悪用すれば
AndroidAPKのインストールプロセスを乗っ取ることが可能になる。
例えば正規の「AngryBirds」をインストールしようとしたユーザーが
マルウェアを仕込んだ別のアプリをインストールさせられ
知らないうちにデータにアクセスされたり盗まれたりする恐れがあるという。
脆弱性はAndroid2.3、4.0.3~4.0.4、4.1.x、4.2.xで悪用できることを確認したほか
Android4.3も影響を受ける可能性があるとしている。Android4.4以降で問題が修正された。
影響を受けるのは、Google以外の企業などが運営する
サードパーティーアプリストアからダウンロードしたアプリケーションのみ。
PaloAltoNetworksは2014年1月にこの脆弱性を発見し
GoogleのほかSamsung、Amazonなどの主要メーカーに連絡してパッチ開発に協力してきたという。
(全文はリンク先で)
以下ソース
http://www.itmedia.co.jp/news/articles/1503/25/news047.html