トレンドマイクロは8月18日、米国のセキュリティ企業「Bluebox」の研究チーム「Bluebox Labs」が不正アプリを正規アプリに偽装する可能性のある脆弱性「Fake ID」を発見したことについて、同社のセキュリティブログで触れた。
Fake IDは、アプリが正規のものであることを証明するための証明書の確認に関係する脆弱性。Androidの2.1~4.4までのバージョンを搭載する端末が影響を受ける。
米Googleによると、2014年8月現在で世の中に出回っているAndroid端末のうち、約82%がFake IDの影響を受ける可能性があるという。
Fake IDの影響を受ける可能性がある代表的なアプリは、「近距離無線通信(NFC)」に関する署名があるもの。
サイバー犯罪者がFake IDを悪用した場合、利用者のGoogle Walletアカウント情報をNFC経由で収集し、支払い先情報を書き換えて不正に金銭が窃取される恐れがあるとしている。
Googleは、Fake IDの攻撃からAndroid端末を守るための更新ファイルをすでに公開している。
しかし、Androidの更新ファイルの配布はGoogleが直接行うのではなく、端末ベンダーが配布する仕組みのため、Googleが把握できていない。Googleは、更新ファイルが公開され次第、速やかに端末を更新するように利用者に呼びかけている。
