研究者チームは、Google のモバイル OS にセキュリティ上の欠陥があり、4.4 KitKat 以降を実行しているスマートフォンに影響を与えることを発見しました。Android ユーザーの 82% が脆弱なままになる可能性がある。
この欠陥は Bluebox Labs によって発見され、Fake ID と呼ばれ、Android でのアプリのセキュリティのチェック方法に基づいています。各アプリには独自の暗号署名があり、これにより誰が更新できるか、どの権限を持つかが決定され、システム全体が一連の ID 証明書で実行されます。ガーディアン紙は次のように説明しています。
「親証明書」と「子証明書」があり、インストール中にこれらが相互にチェックされ、それらが一致し、アプリが信頼できるかどうかが確認されます。親証明書は通常、アプリの作成者によって提供され、子が信頼できることを証明する必要があります。
理論的にはこれで十分なレベルのセキュリティが提供されるはずですが、Android がこれらの証明書に対して十分なチェックを行っていないため、そうではないと Bluebox Labs は述べています。これは、そうでない場合でも、エンティティが別のエンティティから来たものであるかのように見せることができることを意味します。。
その結果、どのアプリにも、親の特権を悪用するために信頼できる送信元から送信されたものであるかのように表示する証明書が含まれる可能性があります。したがって、NFC に関連する Android 証明書は、たとえば、Google ウォレットにアクセスするために騙される可能性があります。、この欠陥は財務に直接的な影響を及ぼします。
Bluebox Labs は、Fake ID の欠陥は Android のバージョン 2.1 から 4.4 に存在し、ユーザーの 82.1% に影響を与えると述べています。その後、Google が Android パートナーと協力してパッチを作成しましたAndroid オープンソース プロジェクトでも利用できますが、携帯電話に届くまでにしばらく時間がかかる場合があります。それを超えて、ウイルスから身を守るための正しい行動を忘れないでください。
