Microsoft、新たなAndroidのセキュリティ欠陥を発見、40億以上のダウンロードに影響

Microsoftは、Google Playストア内の複数のAndroidアプリで見つかった脆弱性パターンについて、Androidユーザーと開発者に警告し、この脆弱性は世界中で40億以上のインストールに影響を与える可能性があると、最近のレポートで発表しています。

Microsoftは、影響を受けるアプリの中で、WPS Office（5億以上のインストール）とXiaomi Inc.のファイルマネージャ（10億以上のインストール）の2つの主要アプリを公開しました。両社は今年2月に通知を受け、その後問題を修正しました。

レポートでは、5億以上のインストールを占める他の多くのアプリも影響を受ける可能性があることが認められていますが、具体的な名前は挙げられていません。

この「Dirty Stream」攻撃と呼ばれるセキュリティ侵害は、アプリが情報を共有するためのコンテンツプロバイダコンポーネントにおいて特定されました。コンポーネントの脆弱性によって、悪意のある人がアプリを制御してユーザートークンにアクセスできるため、アプリが危険にさらされます。Microsoftの専門家が5月1日の発表で説明したように、その結果はアプリがコンポーネントを実装する方法によって異なる可能性があります。

GoogleはMicrosoftと協力してこの脆弱性を明らかにし、開発者向けにAndroid Studioプラットフォームでセキュリティリスクレポートを共有し、さらなる脆弱性を避け、現在の問題を修正するための詳細な情報とアドバイスを提供しました。

Microsoftはこの発表を通じて、影響を受ける可能性のある何十億もの人々に警告しただけではなく、他の大手テクノロジー企業やアプリ開発者に対して、業界全体でより良いアプリセキュリティを提供するために協力を呼びかけています。Microsoftの声明によると、アプリのユーザーと開発者にガイダンスを提供するだけではなく、「全員の安全性を向上させるための協力の重要性を示す」ことも意図しているといいます。

Microsoftはレポートの中で、Androidユーザー向けのガイダンスも提供しており、最大の提案として、常にインストールされているアプリを最新の状態に保つよう呼びかけています。

また、Xiaomi Inc.のファイルマネージャに関連するケーススタディを参考に、この問題の実例を共有し、悪意のあるアプリが深刻なシナリオでどのように動作するかについて、「デバイスの外部ストレージに完全にアクセスできるだけではなく、他のアプリをインストールするための機能など、数多くの権限をリクエストします。」と説明しています。

とはいえ、Forbesも「ユーザーは信頼できるソースからのみアプリをインストールし、潜在的な悪意のあるアプリを避ける必要があります。」と述べているように、ユーザーとしてできることは、情報を保持し、アプリを最新の状態に保ち、Microsoftの推奨事項に従うことのみです。