IPAがAndroid向けのマルウェア「Geinimi」に対して注意喚起
丹羽直也(MineStudio)
本日、IPA(独立行政法人情報処理推進機構)がAndroidをターゲットとしたマルウェアに対して注意喚起を行いました
ITPro http://itpro.nikkeibp.co.jp/article/NEWS/20110121/356358/
IPA「Android OSを標的としたウイルスに関する注意喚起」
http://www.ipa.go.jp/security/topics/alert20110121.html
以前からトロイの木馬、スパイウェアはあり、こちらでも幾度か話題になりましたが、今回はAndroidをターゲットとした
攻撃プログラムとしては初のボット型ウイルスです。
現在は遠隔操作元のサーバーが通信不能のため、感染していても、実害はすぐには出ないみたいです。
ただ、いつ再開するかもわからないので、当然警戒が必要です。
AndroidMarket以外で配布されているapkパッケージに抱き合わせて有るパターンで広がっているらしく、
IPAはAndroidMarket以外からのダウンロードの際には配布元の信頼性に注意してくださいとのことです。
MLですので、手短にさせていただきます。
--
Android Security Japan
http://android-security-japan.mns.me/
kaito
こんばんは、かいとです。
IPA の注意喚起に注意点として、
> 「提供元不明のアプリ」設定のチェックを外しておく
が紹介されています。
個人的に使っている Android アプリは基本的に Android
Market からインストールしているため、検証等で意図的に
外す以外はチェックを外しません。
・Android Market 以外で公開されているアプリをインストールする
* Android Market にそもそも接続できない端末もある?
(このあたり知識不足です。すいません)
・開発中の Android アプリの動作検証する
等々の理由からチェックを外す必要があるんだろうなと思っています。
皆さまは 「提供元不明のアプリ」設定で、どうしてるんでしょうか。
2011/1/21 丹羽直也(MineStudio) <naclub...@gmail.com>:
> --
> このメールは「Android セキュリティ部」のメンバーに送られています
> Android セキュリティ部 サイト http://android-security-japan.mns.me
> このグループにメールで投稿: android-sec...@googlegroups.com
> 当グループのページ http://groups.google.com/group/android-security-japan?hl=ja?hl=ja
>
--
kaito<kait...@gmail.com>
Blog: http://d.hatena.ne.jp/kaito834/
Twitter: http://twitter.com/kaito834/
rg 0020
今のAndroid環境はどうもアプリの提供元を"Android Marketか、それ以外(不明)"
としか認識してくれないようで…「Androidで独自アプリマーケット」とローンチしたサービスは
大抵「提供元不明のアプリのインストールを許可」するよう、FAQに書いています。
http://andronavi.com/todownload
http://special.appget.com/appget/3635
http://www.gapsis.jp/2010/10/androidandroapp.html
アプリ提供元の検証に何らかの証明書を使うのであれば、
そこに第3者機関によるAuthorize済み証明書をインストールして
追加できる仕組みとか可能なんだろうだけどなぁ、拾い食い対策&
安全なアプリマーケット生態系の発展にも寄与するのになぁと考えています。
# ドコモマーケット、au one marketはどうしているのかよく知りません。
# ポーティング時にキャリア側でカスタマイズされているのでしょうか。
また、実験的に製作されて、marketにあげるのが手間だという理由で
apkをgithubなどからダウンロードといったアプリもまた提供元不明となります。
そしてCTS通してないMarket非搭載端末は拾い食いが前提になっているかと。
そこでのセキュリティはインストールおよび実行時のセキュリティ機構のみで
担保されるものではないかとおもいます。
Androidはそれでも、それなりに機能するフレームワークを持っていると思います。
http://slashdot.jp/security/comments.pl?sid=509522&cid=1834206
ただ、このコメントでも指摘されていますが、権限デザインをもうちょっと
細分化してほしいなとも思います。。
--
@ozero
http://twitter.com/ozero
2011年1月22日0:15 kaito <kait...@gmail.com>:
Masakazu Hattori
遅レスですが・・・。
改めて考えてみますと、この Geinimi は画期的ですね。
再パッケージにより人気のある正規アプリにボットを「感染」させて、
Android Market ではない中国のアプリサイトで広める、というのは
今後の Android マルウェアの方向性を示している感じがします。
Android Market でマルウェアを配信しても、発見されしだい、
アプリはもちろん、開発者ごと即座に停止されるでしょうし、
インストール済みアプリがリモート消去された実績もあります。
その一方、中国では第三者アプリサイトがけっこう人気みたいですし、
ボットを広めたいなら こちらを選ぶでしょうね。
アプリを再パッケージするだけなら「亜種」を作るのも簡単そうですね。
.apk を展開してマッチングすれば、既存のシグネチャマッチングでも
その程度の「亜種」は検出できるでしょうが、実際どうでしょうかね。
Android アプリとしてインストールされているセキュリティソフトでは、
現状ではそこまで出来ないのではないかと思います。
皆様が指摘されている「提供元不明のアプリ」設定の件は、
私も前々から気になっていました。
ちゃんと調べてはいませんが、マーケットアプリ (vending) 経由の
インストールかどうかをチェックしているだけのように思えます。
andronavi は「提供元不明のアプリ」をチェックしないと駄目なようですが、
12月の定例イベントで Smartia を触らせてもらった際に確認した時には、
確か、チェックが入っていなかったと思います。何かいじってるんですかね。
au One Market も、きっと、何かいじっているんでしょうね。
ドコモマーケットは Android Market にリダイレクトするだけだと思うので、
そのあたりは何もしていないでしょうね。
丹羽直也(MineStudio)
「提供元不明なアプリ」が厳密に何を意味するのか、ちょっと疑問なところがありますね。
(メーカーがポーティングするときに、独自に設定できる範囲など)
今回は既存のパッケージの展開&再パッケージングが容易という.apkの技術的問題もあります。
javaのパッケージのドメインのTXTレコードを引っ張り出すとハッシュが書いてあって、それで検証できる
という機能がパッと思いつきました。
ただ、それだと、各アプリ開発者がわざわざドメインを取らないといけないので、AndroidMarketに
そのハッシュレコードを自動的に作り、GoogleのDNSサーバーがそのハッシュをしまう機能が必要となりますね
2011年1月22日23:41 Masakazu Hattori <msha...@gmail.com>:
kaito
こんばんは、かいとです。
>@ozero さん
> http://andronavi.com/todownload
> http://special.appget.com/appget/3635
> http://www.gapsis.jp/2010/10/androidandroapp.html
周りの Android ユーザから聞いていましたが、実際に多いですね。
Android Makert では手が届かない細かなランキング等を見ると、
こういった Android Market 以外の需要はありそうですね。
> Androidはそれでも、それなりに機能するフレームワークを持っていると思います。
> http://slashdot.jp/security/comments.pl?sid=509522&cid=1834206
> ただ、このコメントでも指摘されていますが、権限デザインをもうちょっと
> 細分化してほしいなとも思います。。
権限を確認できるという点は、インストールするアプリの性質を
インストールせずに確認できることからよい設計だと思っています。
IPA の注意喚起にある、「「アクセス許可」に注意」を読んで思う
のは、「不自然」、「疑問に思う」指針があるとよいのかなという
ことでしょうか。
>はっとりさん
>アプリを再パッケージするだけなら「亜種」を作るのも簡単そうですね。
>.apk を展開してマッチングすれば、既存のシグネチャマッチングでも
>その程度の「亜種」は検出できるでしょうが、実際どうでしょうかね。
Geimini では試していないのですが、2010 年 8 月に FakePlayer が
登場したときには、このあたり試してみました。
Dr.Web の Android アプリをインストールして、FakePlayer を検査した
とき、FakePlayerを検知することはできました。しかし、宛先をいじった
だけの亜種を作成すると、それは検知できませんでした:( 少し時間を
おいて、改めて試してみたら、無事に検出できるようになっていました。
「亜種」の検出に関しては、PC の世界と変わらない話だと考えています。
皆さんのお話を聞いていると、Android をもっと調べてみないとなぁと
思いました:)
以上、よろしくお願いいたします。
2011年1月22日1:17 rg 0020 <rgfx...@gmail.com>:
まっちゃだいふく
検査系であればPCでは
・バージョンチェック
Secunia PSIのように、ハッシュ、プログラム名で検索してバージョンチェックをするもの
→Secuniaには世界中のプログラムのバージョン、プログラムのハッシュが集まりつつあります
・マルウエア検知
マルウエアのプログラムハッシュ、部分ハッシュ、使用ライブラリ検知、振る舞い検知(通信、アプリ、動作)
通信検知などなど
がありますが、Androidでの状況は不勉強で知りません。
「Trend Micro Mobile Security for Android」では、「悪意あるアプリケーションのダウンロードのブロック」
という機能があるようですが・・・かいとさんの言われているDr.Webと同様の機能なのか、ただのレピュテーションチェックなのか・・・不明です。
あと、現在グレーウエアと呼ばれる、ブラックな動作をしないソフトウエアを、どう判断するか?というのが
マルウエア解析者では永遠の議題になっているみたいです。
以前AVAR2009で聞いてきた雰囲気では・・・
もしあれなら、既にAndroidのように野良アプリをインストールできる
Windows Mobileでの事例や対策方法を見てみるのも手かも知れないです。
2011/1/23 kaito <kait...@gmail.com>:
--
まっちゃだいふく
rip...@gmail.com
http://d.hatena.ne.jp/ripjyr/
https://id.mixi.jp/72585
twitter/wassr: ripjyr
W少年
銀行振込で手軽に参入できるのであれば何とかするのですがクレジットカードを持てない人にとってそれは重大な障壁です。
それでも、提供するアプリはAndroidMarketで配布されている正規品と同等なものです。
なので、何らかの方法で開発者以外が修正しておらずウィルスの心配がないということを証明できるサービスがあればいいと思います。
でもやっぱりマーケットの外で配布される野良アプリをダウンロードするのは怖いですよね。