スマートフォンまわりのセキュリティ問題がなにかと話題のなか、また Android に暗いニュースです。ノースカロライナ州立大学の研究者らが、一部の Android 端末において、アプリが本来持たないはずのパーミッション(権限)を実行できる脆弱性を発見しました。

ご存知のとおり、Android ではアプリごとに「SDカードの読み書き」とか「位置情報の取得」とかいった権限が設定されており、ユーザーはインストール時にどれだけの権限を必要とするアプリなのか、あらかじめ確認できるようになっています。パーミッションモデルは Android のセキュリティシステムの要とも言え、ほとんど無法地帯の Android マーケットにおいても「知らないアプリをインストールしたら無茶苦茶なことになった」という話をあまり聞かないのは、このパーミッションモデルのおかげでしょう。ちかごろ、奇妙なくらいたくさんの権限を求めるアプリが問題視されるようになったのも、ある意味ではこのパーミッション情報がちゃんと公開されているからです。

しかし研究者らが4社・8種の Android スマートフォン、具体的には HTC(Legend / EVO 4G / Wildfire S)、モトローラ(Droid / Droid X)、サムスン(Epic 4G)、Google(Nexus One / Nexus S)を実際に調べたところ、すべての端末において、パーミッションを持たないアプリであっても、一部の権限を利用できたとのこと。どの権限が利用できたかは端末によりますが、たとえばHTC端末3種では音声の記録(通話データの記録も可)や SMS 送信、Epic 4G では端末データのクリアといった、ちょっと見過すことはできないようなことが実行できてしまっています。

分析の中で研究者らが利用したのは、プリインストール済のアプリを利用する方法。権限を持たない(悪意のある)アプリが、権限を持つプリインストール済のアプリの機能を活用することで、本来はできないことをやってしまうというのが、手法の概略です。端末によって利用できてしまう権限に差があるのはそのため。本家 Google の Nexus シリーズまでアプリ削除の権限について問題を抱えてしまっています。

この手法を悪用すれば、端末によっては、パーミッションはなにも求めていなかったのに、通話を記録したり、SMSを送信したり、端末データを消してしまうアプリができてしまうということになります。今回調査されたのは8端末だけですが、そのすべてでなんらかの問題が見つかったことから、研究者らは市場にある多くの Android 端末が同じ問題を抱えているのではないかと推察しています。すでに Google とモトローラは問題を確認済。もとより Android には端末アップデートがなかなか継続して提供されない「分断」問題がありましたが、このようなセキュリティ問題が絡んでくると、アップデートの来ない状況はますます深刻になります。

一部の Android 端末でアプリ権限を迂回できる問題、端末データの削除など
広告

0 コメント

広告