Androidの脆弱性「Certifi-gate」を悪用するアプリがPlayストアで公開されていた

先日話題になったAndroidの脆弱性「Certifi-gate」を悪用するアプリPlayストアで公開されていたそうだ。アプリ自体は無害とみられるが、他のマルウェアがアプリの機能を悪用する可能性があるという(Check Pointのブログ記事Ars Technicaの記事)。

Certifi-gateはサードパーティーベンダーのモバイルリモートサポートツール(mRST)アプリに存在する脆弱性。mRSTアプリはアプリ本体とプラグインという2つのコンポーネントで構成される。プラグインには特権アクセスを可能にするためOEMが署名しており、標準の権限で実行されるアプリはAndroidでのプロセス間通信機能を提供するBinderを通じてプラグインにデータを送信し、特権の必要な処理を行う。Androidにはデータの送信元アプリを確認する手段が用意されていないため、不正なアクセスを受け付けないようにする技術をベンダーが独自に開発する必要があるのだが、この部分で送信元アプリの確認が正しく行われないのがCertifi-gateの脆弱性だ。

Certifi-gateの脆弱性は複数のベンダー製mRSTに存在するが、今回確認されたのはTeamViewer QuickSupportの脆弱性を悪用するAndroidの画面録画アプリのサブコンポーネント「Recordable Activator」だ。TeamViewerは既に修正版をパートナー企業に配布

あわせて読みたい

スラドの記事をもっと見る 2015年8月29日のIT記事
この記事にコメントする

\ みんなに教えてあげよう! /

新着トピックス

ITニュースアクセスランキング

ITランキングをもっと見る

コメントランキング

コメントランキングをもっと見る

トレンドの人気のキーワード一覧

新着キーワード一覧

このカテゴリーについて

最新IT業界情報やiPhoneやAndroidやガジェット、話題のサービス、IoT情報、スタートアップにまつわるニュースをお届け中。