2024年11月23日: NEW! 【Android】AGP を 8.3+ にすると AD_SERVICES_CONFIG プロパティが衝突する

2024年11月23日: NEW! ポリシーステータス「アプリは Android 14（API レベル 34）以降を対象とする必要があります。」が消えない

2024年11月21日: NEW! Android のアーキテクチャで何が Google に「強く推奨」されているか図で理解する

2024年11月17日: 【Mac】差出人/返信先メールアドレスの変更手順とメールエイリアスの作成方法

2024年11月6日: Apple Developer 登録していれば DUNSナンバーを無料で取れる件

2024年10月23日: 【Swift】公証された(またはアーカイブコピー)アプリで VideoPlayer がクラッシュする

2024年10月21日: 【Mac】セブンイレブンのマルチコピー機と micro SDカード

2024年10月18日: Android OS version Market Share

2024年10月18日: 🚀 iOS version Market Share

2024年10月18日: 【macOS】ディスクユーティリティでフォーマットが終わらない → SDカードが死んだ?

2024年10月17日: 【SwiftUI】ScrollView や List を snap する

2024年10月15日: 【macOS】DeskPad - A virtual monitor for screen sharing を使ってみる

2024年10月13日: 【Mac】PDF に無料プレビューアプリで自在に文字入力する方法 - 入力フォームに文字が収まらない

2024年10月12日: 【Swift】画像生 Data は UIImage や NSImage で変更されることを知る

2024年10月10日: SwiftUI・UIKit・AppKitでの画像処理の煩わしさを解消するためのヒント

2024年10月7日: 【X / Twitter】アップロードしようとした動画のフレームレートが高すぎます。

2024年10月7日: 【Mac】ユニバーサルコントロール / ディスプレイが頻繁に途切れるときの対処法

2024年10月5日: 【SwiftUI】UIImage / NSImage の Image への抽象化

2024年10月2日: 【ffmpeg】VP9 コーデックから H.264 コーデックへの動画変換

2024年9月28日: 【bash/zsh】検索付きリスト表示をターミナルで

2024年9月18日: macOS 15 Sequoia 純正 Passwords アプリをメニューバーに入れる

2024年9月12日: 【SwiftUI】Create Draggable Reorder ListView without List

2024年8月27日: 【SwiftUI】吹き出しを作りたい

2024年8月26日: 【SwiftUI】State 付きボタンのアニメーション記述

2024年8月23日: DJI OSMO ACTION シリーズの HDR って BT.709 なの?

2024年8月23日: 【SwiftUI】Apple 公式サンプルでは Animation と Transition をどのように組み合わせているのか

2024年8月21日: ffmpeg で動画を明るくしたり横に並べる

2024年8月16日: 【SwiftUI】withAnimation() ↔ .animation()

2024年8月14日: 【Xcode】ローカルと GitHub のソース管理連携設定

2024年8月9日: 【macOS】時代遅れのアプリ配布形式なのか「dmg」vs「zip」

3月以降OSアップデートしていないAndroidはセキュリティ的にアウト?

最終更新日時 : 2013-07-14 08:21

こんな記事が。

Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された。

Androidの「マスターキー」セキュリティー欠陥チェックツールが公開される

で、とりあえずはやってみました、何台かあるので。

device-2013-07-14-044513

device-2013-07-14-051641

device-2013-07-14-044818

あらら、3台中2台アウト。

で、この「セキュリティの欠陥」てのなんなのかな、と、

Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもの

ここですよね、野良apkとかインストールできないように
設定するところ。

device-2013-07-14-052335

ここで「許可していなくても」インストールできてしまう、
という話なのでしょう。

時期的には、

Googleではこの脆弱性を修正するパッチを3月に同社のOEMおよびパートナー企業に提供している

ということなので、3月以降にOSアップデートをしていなければ
この修正パッチは当たっていないはず。

対応していないキャリアやベンダーはどうなのか。
とかなってきます。

GooglePlayのユーザコメンツをみてみると、
やはり未対応も多いようです。

Bluebox_Security_Scanner_-_Google_Play_の_Android_アプリ

けど、まあ、そういう意味なので、
そういうことだと思います。

Inside the Bluebox Android Master Key Vulnerability - eSecurity Planet
Bluebox Security Scanner - Google Play の Android アプリ

関連

関連ワード: Android・Google・セキュリティ・ツール・ニュース・口コミ・Bluebox Security Scanner