マスターキーの脆弱性は、Androidで最も一般的な脆弱性の1つであり、ハッカーが遠隔操作でユーザーのAndroidシステムやデバイスを操作することを可能にします。マスターキーの脆弱性は、Androidの様々なバージョンで確認されています。そして今、最新のAndroid 4.4 KitKatオペレーティング・システムに、この脆弱性の新たな亜種が出現したようです。
[]
今年7月、Blueboxセキュリティ機関は、ほぼ99%のAndroidデバイスに影響を及ぼす可能性のあるAndroidの脆弱性を発見したと発表しました。この脆弱性は、Androidユーザーがアプリをインストールする際に、プログラム認証と悪意のあるコードの検出をバイパスする可能性があり、ユーザーの手にあるAndroid端末が、暗号署名のないエクスプロイトによって悪意を持って変更されたアプリをインストールできるようになるというもの。Googleは脆弱性を修正したと発表していますが、大手企業や通信事業者がユーザーの携帯電話にパッチをプッシュし、即座にアップデートしたかどうかは不明です。
iOS向け脱獄アプリショップCydiaの開発者であり、Android向けセキュリティプログラムの開発者でもあるSaurik氏によると、Android 4.4 KitKatオペレーティングシステムにも同じMaster Keyの脆弱性が存在するとのこと。この脆弱性は以前のバージョンほど深刻ではないようですが、それでもハッカーが悪用して被害をもたらすには十分なものだとSaurikは述べ、脆弱性の非常に詳細なエラー解析と、脆弱性を利用してAndroidに簡単にインストールできる悪意のあるデモアプリを提供しています。一方、Saurikは、脆弱性を修正するパッチでそのCydiaアプリを更新し、最初に独自のシステムにパッチをインストールしました.
Android 4.4 KitKatのMater Keyの脆弱性にパッチが適用されましたが、パッチの適用範囲はいつものようにキャリアとベンダー主導です。GoogleのNexusデバイスは、アップデートのインストールからOTAプッシュを最初に受け取るかもしれませんが、メーカーやキャリアによるAndroidのカスタマイズや修正の深さにより、他のNexus以外のAndroidスマートフォンがいつ脆弱性を修正できるかは、各メーカーやキャリアのイベントスケジュール次第です。
