数多くの候補から自分好みのものを選択できるAndroidデバイス。高度なカスタマイズが可能なことも魅力であり強みです。しかし、その反面、わかりにくさを指摘されることもあります。ここではそんな「Androidのここがわからない」をわかりやすく解説します。今回は、『「なりすましアプリ」に備えるには?』という質問に答えます。
***
最近、Android OSに「Fake ID」と呼ばれる脆弱性が確認されました。Android OSのバージョン2.1(Eclair)から4.3(Jelly Bean)を使用している場合、この脆弱性を突く悪質なアプリを利用すると、他のアプリになりすまされ、個人情報の漏えいやその他の不利益をこうむる可能性があります。
Androidアプリは、それぞれに固有の識別情報(電子証明書)を持っています。識別情報はアプリのパッケージ(.apkファイル)が偽造されたものでないことの証であり、それが確認されればそのアプリのふりをすることができます。Fake IDを利用した"なりすましアプリ"は、システムの脆弱性を突いて他のアプリの識別情報を入手し、そのアプリの権限で動作します。なりすまされたアプリの信頼レベル次第では、個人情報抜き取りを上回るダメージを与えることすら不可能ではありません。
この脆弱性はAndroidのシステムに起因するため、Fake ID対策が施されているバージョン(4.4.4)以降へのアップデートが必要です。しかし、Android OSのアップデートは端末を扱う通信キャリアやGoogleのOEMメーカーに任されているので、すべての端末が更新できるわけではありません。
アップデートできない端末の場合は、Fake IDの検出機能を備えたアプリを使う方法があります。たとえば、McAfeeが無償配布するセキュリティアプリ「Fake ID Detector」を利用すれば、Fake IDの脆弱性を突いたアプリを検出することができます。
|
バージョン4.4.4以前のAndroid OSでは、他のアプリへのなりすましを可能にする脆弱性「Fake ID」が報告されています(画面は悪質アプリ検出ツール「McAfee Fake ID Detector」) |
