By nKauscher

IBMのアプリケーション・セキュリティの研究チームが、Androidアプリの秘密鍵と公開鍵のペアや公開鍵証明書を格納するためのリポジトリとして機能するデータベースであるKeyStoreに関する脆弱性を指摘しました。現在この脆弱性に対する修正パッチはAndroid 4.4向けにのみリリースされており、Android端末全体の86.4%が依然として危険にさらされたままとなっています。

Android KeyStore Stack Buffer Overflow

http://securityintelligence.com/android-keystore-stack-buffer-overflow-to-keep-things-simple-buffers-are-always-larger-than-needed/



Serious Android crypto key theft vulnerability affects 86% of devices | Ars Technica

http://arstechnica.com/security/2014/06/serious-android-crypto-key-theft-vulnerability-affects-86-of-devices/



IBMのアプリケーション・セキュリティの研究チームによると、KeyStoreの脆弱性をアタッカーが利用した場合、インターネットバンキングアプリなどの金銭を取り扱うアプリやVPN接続アプリ、クレジットカードやキャッシュカードを利用する際の識別番号であるPINコードを利用するアプリ、指紋認証機能など、さまざまなアプリから暗号化キーを入手可能になります。この脆弱性は開発時のバグによるもので、アタッカーはKeyStoreを使用するアプリ経由で暗号化キーを流出させるような悪質なコードを使用可能になっている、とのことです。

さらに、IBMのセキュリティアドバイザーは、「Googleはスタックベースのバッファオーバーフローに関する修復パッチを、Android 4.4向けにのみ配布した」コメントしており、4.4以外のOSバージョンを搭載したAndroid端末では依然としてKeyStoreの脆弱性が残されたままとなっていることも明かしています。



By marsmetn tallahassee

ただし、アタッカーがこの脆弱性を利用するにはいくつかの技術的なハードルがあるとのこと。Android OSはデータ実行防止アドレス空間配置のランダム化などの最新のセキュリティ技術で守られており、これらはアタッカーが脆弱性を利用して悪意のある攻撃を仕掛けることを難しくしています。また、アタッカーが脆弱性を利用した攻撃を仕掛けるには、悪意のあるコードを含んだアプリを、Android 4.4以前のOSを搭載した端末にインストールさせる必要もあり、これらをクリアするのは簡単なことではないことも指摘されています。しかし、脆弱性はまだKeyStore上に存在しており、App StoreやGoogle Playのセキュリティレベルでは爆増&巧妙化したマルウェアから利用者を保護しきれない実態が明らかになっていることを考えると、Googleの修正パッチが一刻も早く公開されてほしいところです。

Ars Technicaがライス大学のコンピューターサイエンス学部で教授を務めるDan Wallach氏にこの脆弱性に関して意見を求めたところ、Wallach氏は「KeyStoreに脆弱性があると、他人の端末のアプリに他人のフリをしてログインしたり、ログイン情報なしでアプリの使用が可能になってしまうので、ログイン時にアカウント情報の入力をしつこく迫ってくるようなインターネットバンキングアプリでも簡単に利用されてしまう。また、携帯端末からVPNの電子証明書を盗まれてしまえば、ユーザーをインターネットに接続不能にすることも可能であり、この脆弱性を利用したさまざまな攻撃が予測される」とコメントしています。

「KeyStoreの脆弱性は他の脅威を生み出す可能性もある。この脆弱性を使ってサイバー犯罪者はAndroidというOSのリソース部分にアクセス可能なので、より影響度の高い暗号操作を行う可能性もある」と言うのはviaForensicsの上級セキュリティエンジニアであるPau Oliva氏。



By Daniel

なお、国内ではNTTドコモauが一部の端末をAndroid 4.4にアップデートすることを告知しています。