10億以上のAndroidデバイスに脆弱なアプリがインストールされています

Microsoft Threat Intelligenceチームのセキュリティ研究者は、「ダーティストリーム」攻撃と呼ばれるパス・トラバーサル関連の脆弱性がいくつかの人気Androidアプリに存在することを明らかにしました。

この脆弱性により、悪意のあるアプリが脆弱なアプリのホームディレクトリ内の任意のファイルを上書きすることが可能になります。

水曜日に発表された報告書で、Microsoft Threat IntelligenceチームのDimitrios Valsamarasは、「この脆弱性パターンの影響には、アプリケーションの実装に応じて任意のコード実行やトークンの盗難が含まれます。」と述べました。

彼はさらに、「任意のコード実行は、脅威アクターにアプリケーションの動作を完全に制御させることができます。一方、トークンの盗難は、脅威アクターにユーザーのアカウントや機密データへのアクセスを提供する可能性があります。」と付け加えました。

この発見は、Google Playストア内の複数の脆弱なアプリに影響を及ぼし、40億以上のインストールを代表しています。

脆弱性が見つかったアプリのうちの2つは、1億以上のインストールを持つXiaomi Inc.のファイルマネージャー（com.mi.Android.globalFileexplorer）と、500百万以上のダウンロードを持つWPS Office（cn.wps.moffice_eng）です。

Androidオペレーティングシステムは、各アプリケーションに専用のデータとメモリ空間を割り当てることによって隔離を強制します。特に、コンテンツプロバイダーコンポーネントとその「FileProvider」クラスは、他のインストールされたアプリケーションと安全にデータやファイルを共有することを容易にします。

不適切に実装されると、アプリケーションのホームディレクトリ内の読み取り/書き込み制限をバイパスできる脆弱性を引き起こす可能性があります。

「このコンテンツプロバイダーに基づくモデルは、明確に定義されたファイル共有メカニズムを提供し、提供アプリケーションが他のアプリケーションと安全にファイルを共有できるようにし、細かい制御を可能にします。」とValsamarasは指摘しました。

「しかし、消費アプリケーションが受け取ったファイルの内容を検証しないケースが頻繁に見られ、最も懸念されるのは、提供アプリケーションによって提供されたファイル名を使用して、受け取ったファイルを消費アプリケーションの内部データディレクトリにキャッシュすることです。」

悪意のあるコード実行は、脅威アクターがアプリケーションの動作を完全に制御し、彼らの管理下にあるサーバーと通信させて機密データにアクセスさせることによって達成されます。

Microsoftの責任ある開示ポリシーの一環として、同社はダーティストリームの影響を受けたAndroidアプリの開発者とその発見を共有しました。たとえば、Xiaomi, Inc.とWPS Officeのセキュリティチームはすでに問題を調査し、修正しています。

しかし、同社は、同じセキュリティの弱点により、さらに多くのアプリケーションが影響を受け、侵害される可能性があると考えています。したがって、すべての開発者に対して、研究を分析し、自社の製品が影響を受けていないことを確認することを推奨しています。

「この脆弱性パターンは他のアプリケーションでも見つかる可能性があると予想しています。この研究を共有することで、開発者やパブリッシャーが自分のアプリを同様の問題でチェックし、適切に修正し、新しいアプリやリリースにこのような脆弱性を導入しないようにすることができます。」とValsamarasは付け加えました。

この脆弱性パターンが広範囲にわたる可能性があることを認識し、MicrosoftはGoogleのAndroidアプリケーションセキュリティ研究チームにもその発見を共有しました。

検索大手は、開発者が自分のアプリにこの脆弱性パターンを導入しないようにするための情報を提供するために、Android Developersウェブサイトに記事を公開しました。

一方、ユーザーは、信頼できるソースからのAndroidデバイスとインストールされたアプリを最新の状態に保つことでリスクを軽減できます。