Androidのライブラリに致命的なバグ――多数のアプリが未対応：開発者は修正済みライブラリの適用を

Google Play Coreライブラリには致命的なバグがあった。Googleは2020年4月に同ライブラリを修正したが、このライブラリを使用している多くのアプリが未対応のまま放置されている。

≫ 2021年02月01日 08時00分公開

[Alex Scroxton，Computer Weekly]

　「Android」アプリの開発者が「Google Play Core」ライブラリをアップデートしないと、何百万人ものユーザーがリスクにさらされるとCheck Point Software Technologiesが警告している。多くのAndroidアプリで使われているGoogle Play Coreライブラリにはバグがあり、Googleは2020年4月にアップデートを行った。

　CVE-2020-8913の欠陥は、ローカルでコードを勝手に実行する脆弱（ぜいじゃく）性だ。この脆弱性を利用してあるアプリを標的とする「APK」（Android Package Kit）を作成し、それを標的とするアプリのコードとして実行すると端末内のデータにアクセスできる。アクセスできるデータには、ログイン資格情報、財務情報、プライベートなメッセージや写真などの個人情報が含まれる恐れがある。

　この脆弱性はGoogle Play Coreライブラリに起因する。Google Play Coreライブラリは、開発者が独自のアプリ内更新や新機能モジュールをプッシュできる重要な要素だ。2020年9月時点で「Google Playストア」で入手できるアプリの約13％がGoogle Play Coreライブラリを使用している。

併せて読みたいお薦め記事

　Googleは前述の通りこの脆弱性用のパッチを適用した。サーバ側の脆弱性であれば、パッチを適用した時点で解決する。だが、これはクライアント側の脆弱性だ。

　Google Play Coreライブラリを利用している開発者がパッチ適用済みのGoogle Play Coreライブラリを取得して、自身のアプリにインストールする必要がある。だが8カ月たった今、パッチに対応していないアプリはまだ多い。

　Check Point Softwareでモバイルリサーチ部門のマネジャーを務めるアビラン・ハズム氏は次のように話す。「当社は、何億人ものAndroidユーザーがセキュリティのリスクにさらされると見積もっている。Googleはパッチを実装したが、多くのアプリでまだ古いGoogle Play Coreライブラリが使われている」

　「CVE-2020-8913の危険性は高い。攻撃者がこの脆弱性を悪用すると、アプリの内部でコードを実行して、そのアプリと同じアクセス権を入手できる。二要素認証のコードを盗み出したり、銀行アプリにコードを挿入して資格情報を入手したりすることが可能だ」（ハズム氏）

　「ソーシャルメディアアプリにコードを挿入して被害者をスパイしたり、インスタントメッセージアプリにコードを挿入して全てのメッセージを入手したりすることもできる」とハズム氏は話す。

　Check Point Softwareが著名なアプリを無作為に選んで簡単に調べると、「Bumble」「Microsoft Edge」「Grindr」「PowerDirector」「XRecorder」「Yango Pro」にはこの欠陥がまだ存在する。「Booking.com」「Cisco Webex Teams」「Moovit」「Viber」は問題が解決されていることを確認した。

　Check Point Softwareはアプリの開発者全てに連絡しているが、本稿執筆時点（2020年12月）では更新されているかどうかは明らかではない。

　端末にモバイル脅威防御（MTD）ソリューションをインストールしていないユーザーは、そのインストールを検討する必要がある。企業が支給した端末を利用しているユーザーならば、企業のモビリティー管理戦略の一環としてMTDがインストールされているだろう。

　現在入手可能なMTDツールには、「Proofpoint Mobile Defense」「Symantec Endpoint Protection Mobile」「Zimperium zIPS」「SandBlast Mobile」などがある。

TechTargetジャパントップセキュリティ