Androidデバイスの半数以上が偽の類似アプリを通じてリモートコントロールバグに脆弱

今月は特にGoogleとAndroidセキュリティチームにとって悪い月のようです。月が始まって以来、Android OSにおいて重大な脆弱性が報告されています。最初は、マルチメディアテキストを送信するだけでハッカーがスマートフォンをクラッシュさせることができるStagefright脆弱性でした。次に、Stagefrightの拡張であるSilent Attack脆弱性が登場し、ハッカーが所有者の同意や知識なしにAndroidスマートフォンにリモートで侵入できる可能性がありました。

現在、IBMのX-Forceアプリケーションセキュリティ研究チームがAndroidスマートフォンとタブレットにおける別の重大な脆弱性を発見しました。この欠陥は、Android OSバージョン4.3 Jelly BeanからAndroid 5.1 Lollipop、さらには最新のAndroid M Preview 1バージョンに影響を与え、ハッカーがターゲットデバイスをリモートで制御できるようにします。

この欠陥はJelly Bean以降のすべてのデバイスに影響を与えているため、世界中でアクティブなスマートフォンのほぼ半数がこのバグの影響を受けています。この脆弱性はAndroidシリアライゼーション脆弱性と呼ばれ、CVE-2015-3825が付与されています。

Androidシリアライゼーション脆弱性により、特権のない悪意のあるアプリがリモートコード実行を通じてデバイスの完全な制御を取得できます。つまり、ハッカーは信頼できる正当なアプリを偽の「スーパアプリ」に置き換え、ユーザーに個人情報を入力させることができます。

IBMのX-Forceアプリケーションセキュリティ研究チームのPelesは、ブログ投稿でこの欠陥はまだ実際には悪用されていないが、「適切な焦点とツールがあれば、悪意のあるアプリは最もセキュリティ意識の高いユーザーさえもバイパスする能力を持っている」と主張しました。

「私たちが作成したPoCエクスプロイトは、高い特権を持つsystem_serverプロセスを攻撃します。system_serverを悪用することで、かなり緩やかなSELinuxプロファイルを持つシステムユーザーへの特権昇格が可能になり、攻撃者は多くの損害を引き起こすことができます。たとえば、攻撃者はターゲットアプリのAndroidアプリケーションパッケージ（APK）を置き換えることで、被害者のデバイス上の任意のアプリケーションを引き継ぐことができます。これにより、攻撃者は被害者の代わりにアクションを実行できます。さらに、私たちはAndroid Keychainアプリを悪用して、デバイスにインストールされているすべてのアプリケーションからデータを抽出するためにシェルコマンドを実行することができました。また、SELinuxポリシーを変更し、一部のデバイスでは悪意のあるカーネルモジュールをロードすることもできました。」

マルウェアが実行されると、実際のアプリが偽のアプリに置き換えられ、攻撃者はアプリから機密情報を盗むか、説得力のあるフィッシング攻撃を仕掛けることができます。

Pelesは、彼のチームがいくつかのサードパーティのAndroid SDKにも脆弱性を発見し、任意のコード実行を可能にし、攻撃者が影響を受けたアプリから機密情報を盗むことができると主張しました。

「発見された脆弱性は、攻撃者が任意のアプリのメモリ空間におけるオブジェクトのデシリアライズ中にポインタ値を制御する能力の結果であり、これはランタイムのガーベジコレクタ（GC）によって呼び出されるネイティブアプリコードによって使用されます。」と彼は付け加えました。開発者はAndroidプラットフォームとSDK内のクラスを利用します。これらのクラスは、アプリの機能を提供します。たとえば、ネットワークへのアクセスや電話のカメラへのアクセスなどです。「私たちが発見した脆弱性は、アプリやサービス間で行われる通信チャネルを通じてマルウェアによって悪用される可能性があります。情報が分解されて再構成される際に、悪意のあるコードがこのストリームに挿入され、他の端で脆弱性を悪用し、デバイスを所有します。」

X-Force研究チームはGoogleに通知しており、すでにこの欠陥のパッチがリリースされています。X-Force研究の詳細はこちらで確認できます。