こんな記事が。
Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された。
Androidの「マスターキー」セキュリティー欠陥チェックツールが公開される
で、とりあえずはやってみました、何台かあるので。
あらら、3台中2台アウト。
で、この「セキュリティの欠陥」てのなんなのかな、と、
Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもの
ここですよね、野良apkとかインストールできないように
設定するところ。
ここで「許可していなくても」インストールできてしまう、
という話なのでしょう。
時期的には、
Googleではこの脆弱性を修正するパッチを3月に同社のOEMおよびパートナー企業に提供している
ということなので、3月以降にOSアップデートをしていなければ
この修正パッチは当たっていないはず。
対応していないキャリアやベンダーはどうなのか。
とかなってきます。
GooglePlayのユーザコメンツをみてみると、
やはり未対応も多いようです。
けど、まあ、そういう意味なので、
そういうことだと思います。
Inside the Bluebox Android Master Key Vulnerability - eSecurity Planet
Bluebox Security Scanner - Google Play の Android アプリ
関連ワード: Android・Google・セキュリティ・ツール・ニュース・口コミ・Bluebox Security Scanner