アメリカのセキュリティ企業Bluebox Securityが、Androidデバイスの99%(=約9億台)が影響を受けるとされる脆弱性を発表しました(Bluebox Blog、ITmedia)。
今回見つかった脆弱性を悪用すると、アプリケーションパッケージ(APK)内のコードを改ざんしても、暗号化署名で改ざんが見破れなくなってしまい、正規に配布されているアプリか、不正規の(マルウェアやウイルスが埋め込まれた)アプリか判別がつかなくなってしまうということ。
画像は、HTCの電話アプリを改ざんしたデモのようです。
脆弱性の詳細は不明ですが、セキュリティパッチが配布されるまで、Google Playなど、正規のアプリストア以外からアプリをダウンロードしてインストールする事は控えたほうがいいかもしれません(Gooleには報告済みのようです)。