Google、Android OSにTOCTTOUの脆弱性を確認
AndroidのPackageInstallerに、Androidアプリのインストールの際に正規アプリが改ざんされたり、マルウェアに置き換えられたりする脆弱性をパロアルトネットワークスが確認し注意を呼びかけている。同社によるとAndroidユーザーの49.5%がこの脆弱性の影響を受けるとしている。
PackageInstallerシステムにはTime-of-Check to Time-of-Use(TOCTTOU)の脆弱性が含まれ、この脆弱性によりユーザがアプリをインストールする際に攻撃者がこのプロセスを乗っ取って改ざんし、マルウェア感染させて別のアプリをインストールさせてしまう。その結果、ユーザの端末にフルアクセスが可能となり、ユーザ名やパスワード、機密情報等にアクセスされて窃取される恐れがある。Google Playからアプリをダウンロードした場合には、APKファイルは保護されたストレージに保存されるためこの脆弱性の影響を受けないが、サードパーティストアからアプリをダウンロードすると、保護されていないストレージに保存されるためこの脆弱性が悪用される。この脆弱性はAndroid 2.3、4.0.3、4.0.4、4.1.X、4.2.x.と一部の端末の4.3に影響する。この脆弱性は4.4で修正されているため、アップデートによりこの脆弱性は解消される。また、この脆弱性をチェックできるアプリをGoogle Playに公開した。この脆弱性を回避するためにも、アプリのインストールの際は、サードパーティではなくGoogle Playからダウンロードするよう呼びかけている。
