Androidの「マスターキー」セキュリティー欠陥チェックツールが公開される

Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが(/.J記事)、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された(eSecurity Planetの記事、本家/.)。

Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもので、Bluebox Securityでは「マスターキー」のセキュリティー欠陥などと呼んでいる。その後、セキュリティー企業viaForensicsの研究者による実証コードも公開されている(本家/.記事)。Googleではこの脆弱性を修正するパッチを3月に同社のOEMおよびパートナー企業に提供しているとのことで、すでに修正済みのAndroidを搭載した端末も存在する模様。

Bluebox Security ScannerはAndroid 2.3.3以降に対応。実行すると未修正バージョンでは「Unpatched/vulnerable」、修正済みバージョンでは「Patched」と表示される。手元にあった3台の端末で試してみたところ、Android 4.1.2の端末は修正済み、Android 2.3.6とAndroid 3.2.1の端末は未修正だった。　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | Android

　関連ストーリー：
セキュリティ企業曰く「Androidアプリの99％に脆弱性がある」 2013年07月08日
シマンテック、Amazon AndroidアプリストアとGoogle Playで偽アプリを発見 2013年07月07日
米NGO、キャリアにより脆弱性が放置されたAndroidスマートフォンの調査と救済をFTCに求める 2013年04月20日
パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 2012年04月30日