Androidのセキュリティ脅威
Androidを使用者にとってまたまた衝撃のニュースが入ってきました。
あるSDK(Software Development Kit、ソフトウェアを開発するためのツール)にとんでもない脆弱性があったことが明らかになりました。一部では「猛毒」とまで言われるその脆弱性は、その影響範囲があまりにも広いとの事で各方面に衝撃が走っています。その脆弱性を持っていたのは中国の検索エンジン大手「百度」(Baidu、バイドゥ)の「Moplus」というSDKです。
一般人は無関係?
ソフトウェア開発用のツールの脆弱性と聞くとソフトウェア開発をしている人に関係する話で、ユーザは無関係と思うかもしれません。しかし、今回の「Moplus」の脆弱性は、「Moplus」を利用しているソフトウェアもまったく同じ脆弱性を持つことになります。対象となるアプリの数はバージョン違いなどを含めて14,112にものぼり、影響を受けるユーザは1億人を超えるとも言われています。
先日の記事とは異なり、公式マーケットにアップロードされていたアプリの中にも対象のアプリがあるという点が、今回の脆弱性の深刻さを物語っています。
脆弱性の内容
今回の脆弱性は「バックドア」と呼ばれる脆弱性です。「バックドア」とは、セキュリティ認証などを不正な方法で回避し、遠隔操作を出来るようにする入り口のことです。勝手に裏口を開けてしまうような動作に見えることから「バックドア(裏口、勝手口)」という名称で呼ばれています。「バックドア」を利用することで、任意のサイトに端末内のデータを送信したり、勝手に端末内に連絡先を追加したり、端末にアプリを勝手にインストールしたり、といったことが可能になってしまいます。
対処方法
この「Moplus」の脆弱性はすでに修正されているとの事です。しかし、「Moplus」を利用して作られたアプリ側も、脆弱性修正後の「Moplus」を使ったものに更新されなければアプリ側の脆弱性は修正されません。対象のアプリ数は14,112にものぼり、まだ対応できていないアプリも多数あると推測されます。さらに、最終的にはユーザが利用している「Moplus」を利用したアプリを更新しないと端末は脆弱性を抱えたままになります。
つまり、脆弱性を取り除くには
1.「Moplus」の修正(百度の作業。すでに対応済とのこと。)
2.「Moplus」を利用したアプリの修正(開発者の作業。アプリによっては対応済。)
3.ユーザの端末内の「Moplus」を利用しているアプリを更新する(ユーザの作業。2が行われた後にユーザが自分で実行する。)
という3段階を経なければいけません。対象アプリの数が14,112、対象ユーザが1億人以上だとすると、対処が完全に終わるまではまだ時間がかかりそうです。
詳細な分析はtrendmicro社が行っておりますのでより詳しく知りたい方は該当記事をご覧ください。
(以上の内容はtrendmicro社のこちらの内容を参考にいたしました。)
おまけ
今回の騒動を起こした「百度」ですが、聞き覚えのある方もいるのではないでしょうか。一昨年、勝手にデータを送信していると騒がれたAndroid向け日本語変換ソフトウェア「Simeji」を作っている会社が「百度」です。そのときは、キーボードから入力した内容が外部のサーバに送信されているとの事で騒ぎになりました。キーボードから入力したものすべてが対象だったため、個人情報やパスワード、ネットで検索した気になるキーワードや恋人とのメールに書いた愛の言葉、通販で内緒で買ったあ~んなおもちゃの名前まで、ありとあらゆる情報が送信されていたとの事です。
前回あれだけの騒ぎになったにもかかわらず、今回またこのような騒ぎになったことは非常に残念ですね。
要チェック!!Androidアプリのインストール時のチェック項目
今回の件に限ったことではありませんが、アプリをインストールする際は以下の項目をチェックすることでAdwareやウィルスなどにかかるリスクを低減できます。アプリをインストールする際は面倒くさがらずにチェックする習慣を身に付けましょう。
・開発元のチェック
Twitterの公式アプリのはずなのに開発元がわけのわからない会社名だったり、Twltterのように、よく似た別の名前だったりした場合は偽者の可能性があります。ほかの判断材料と併せてインストールするかどうか判断しましょう。
・ダウンロード数のチェック
LINEのように大ヒットしたアプリなのに、ダウンロード数が1000件といったように、有名なアプリのはずなのにあまりにもダウンロードが少ない場合も偽者の可能性が高いです。バージョンアップの直後で本物のアプリがたまたまダウンロード数が少ない、という場合も考えられますが、こちらもほかの材料と併せてインストールするかどうか判断しましょう。
・アプリの要求している権限のチェック
アプリの要求してくる権限の詳細を確かめることは、不振な動きをするアプリがインストールされることを防ぐのに有効な手段です。例えばただのカメラのはずなのにインターネットアクセスの権限を要求したり、オフラインのゲームアプリなのに位置情報を要求したり、無料の音楽プレイヤーのはずなのに課金の権限を要求したりetc…といった様に、絶対に必要が無いはずの権限を要求してくるアプリは怪しい動きをするかもしれません。ほかの材料と併せてインストールするかどうか判断しましょう。
※普通のアプリでも、例えば無料でアプリを提供するために広告表示を導入しているアプリなどは、広告表示のためにインターネットに接続する権限を要求する、といった場合もあります。何でもかんでも怪しいとも言い切れません。
Androidは自由度が高いOSです。便利なアプリもたくさんあります。アプリを使う際は自身の責任できちんと判断した上で、インストールする前に普段からアプリの内容を確認する癖を付けましょう。
※先日の記事にもAndroidのセキュリティに関する情報が載っております。併せてご覧ください。