【欠陥】Android、アプリ審査手順やコード署名方法に欠陥

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
http://techtarget.itmedia.co.jp/tt/news/1206/15/news03.html

 モバイルマルウェアは実際に出回っており、攻撃者はモバイルマルウェアを使ってスマートフォンに保存された企業の機密情報を
盗み出している。ただし、ハッカーのシンクタンクがあって、モバイル端末の最新の脆弱性を突くコードの開発に当たっている、などと
いう作り話を信じてはいけない。米調査会社Trail of Bitsの共同創業者であるダン・ギドCEOのような専門家が描くモバイルマルウェア
の様相は、もっと分かりやすくて恐ろしいほど単純だ。モバイルマルウェアの大部分は、米GoogleのAndroidのセキュリティモデルの
おかげで実現できている。

 セキュリティ関連の年次カンファレンス「Information Security Decisions 2012」で講演したギド氏は、攻撃者が利用しているのは限
られた数の既知の脆弱性であり、携帯電話の中でも特にAndroidプラットフォームが標的にされていると指摘した。その手段となる
悪質なモバイルアプリケーションが成功を収めることができているのは、低水準な審査手順やコード署名方法が原因だという。
2名無しさん@お腹いっぱい。:2012/06/16(土) 07:31:16.55 ID:???
 最善の防御策は、端末を攻撃するために掛かるコストを引き上げ
ることだとギド氏は言う。同氏によると、Appleはコードの実行を
食い止めるために強固な障壁を築いている。App Storeに提出され
た全てのコードに署名し、アプリケーションには個別のIDとディレ
クトリが割り当てられる。さらに、「Seatbelt」と呼ばれるサンド
ボックスを利用して、あるアプリケーションが別のアプリケーショ
ンのデータにアクセスするのを制限し、iOSカーネルの攻撃対象領
域を小さくしているという。

 一方、Androidのセキュリティ機能の場合、攻撃に掛かるコスト
は最小限で済むと同氏は指摘する。Androidはコード署名の代わり
に、OS内でコード実行を許すエリアを制限する「No-
eXecute(NX)ビット」を採用している。これは、Appleが頼み
にしているコード署名に比べると効果は薄いという。さらに、iOS
の「脱獄」(Jailbreak)につながる脆弱性を解決するまでにかか
る時間は、Androidの場合と比べてはるかに短い。つまり、
Androidの脆弱性を突く攻撃の方が寿命は長いというわけだ。
3名無しさん@お腹いっぱい。:2012/06/16(土) 07:35:28.05 ID:???
重要なのは、App Storeではアプリケーションのランタイム変更が
認められていない点だ。App Storeに登録したそのままの状態で提
供しなければならない。これに対してGoogleは、コードのランタ
イム変更を認めている。マーケットで提供開始する時点でアプリケ
ーションに手を加えることができるため、攻撃者がGoogle Playに
悪質なアプリケーションを送り込むことはiOSと比べてはるかにた
やすい。App Storeの場合、セキュリティチェックの一部になって
いるコード署名により、悪質なアプリケーションが見つかる可能性
が大きい。
4名無しさん@お腹いっぱい。:2012/06/16(土) 22:23:13.61 ID:???
毎回のようにAndroidに不利なスレが立つとAppleを攻撃する
ネガキャンレスが書き込まれる。
5名無しさん@お腹いっぱい。:2012/06/19(火) 08:20:44.24 ID:???
ランタイム更新が可能ならやりたい放題だな。
6名無しさん@お腹いっぱい。:2012/08/18(土) 13:43:41.15 ID:???
マイクロソフトかw
7名無しさん@お腹いっぱい。
Windowsよりはマシ