今月の頭に「Androidの99%が影響を受ける脆弱性」が話題になりました。アメリカのBluebox Security社が発見したこの脆弱性の概要をBluebox Security社自身がBlogで説明しています。
Uncovering Android Master Key That Makes 99% of Devices Vulnerable
上記Blogによると、Android1.6、コードネームDonut以降の端末9億デバイスは深刻な脆弱性を抱えているとのことです。Donut以降とはつまり過去4年以内の全てのAndroidが影響を受けるという意味です。
全てのAndroidアプリは暗号署名を持ち、Androidはその署名を使ってアプリに不正な修正がされていないか決定するのですが、この脆弱性を使えば暗号署名に影響する事なくアプリコードを変更する事が可能となるそうです。Andoroid側は例え悪意の無い正規アプリが改変されてマルウェアやトロイの木馬を組み込まれたとしても「何も変わっていない」と判断するそうです。
一番最悪な事態はスマホメーカーが作成したアプリに組み込まれてしまう事で、その場合は端末内の全データにアクセスされてしまうそうです。メールを読まれるだけではなくアカウントパスワードを盗み、電話をかけ、カメラを起動することも可能になるとの事です。
なぜスマホメーカー作成のアプリに組み込まれる事が最悪なのかというと、恐らくそのアプリにはroot権限が与えられているからだと思います。なのでroot化した端末は非rootの端末より危険性が増しているでしょう。Googleはこの報告を今年2月にBluebox Securityから受けており、Google Play内で対策を施したという事ですので野良アプリは決してインストールせずGoogle Playを利用する事をお勧めします!! と、結論づけるわけにもいきません。
確かに正しい対策方法ですが、野良アプリに手を出すなというのはガジェオタには厳しい話です。そこで野良アプリのXposedを使って対策しましょう。
Xposedで対策
既にXposedが使えるという前提で進めます。XposedとはiosにおけるCydiaのようなもので、.apkで配布されるモジュールをXposedによって橋渡しする事でシステムを弄らずに機能を追加する事が出来ます。
まずGoogle PlayからBluebox Security Scannerをインストールして自身のROMに対策が施されているか確認してください。おそらく、ハイエンド機のストックROMでも対策されていない物が多いと思います。これはBluebox Security Scannerのレビューを覗いて抱いた感想です。
私もXperia miniストックICSで確認してみましたが未対策でした。「bug 8219321」と「bug 9695860」が未対策で赤くなっています。提供元不明のアプリをインストールできるようにしてあるので赤、悪意のあるアプリは無いので緑です。
未対策なのが分かりましたので、次はGoogle PlayからMaster Key dual fixを検索してインストールしてください。これはXposed用のモジュールなのでXposedで有効にします。詳しい方法は省略します。
対策パッチを当てた結果、画面がこう変わりましたので対策完了です。
ちなみにLegacy Xperiaのcm_smultron-LX-20130722-NIGHTLYは既に対策済みでした。
