http://www.itmedia.co.jp/news/articles/1307/04/news030.html
Androidにアプリ改ざんが可能な脆弱性、9億台の端末に影響か

　しかし、今回見つかった脆弱性を悪用すると、この暗号化署名を破ることなくAndroidアプリケーションパッケージ（APK）のコードを改ざんし、正規のアプリをマルウェアに変えることができてしまうという。しかも、この改ざんはアプリストアにも、端末にも、エンドユーザーにも気づかれることはないとしている。
demo001.jpg HTCの電話アプリを改ざんしたデモ（Blueboxより）

　アプリの種類によっては、情報を流出させたりモバイルボットネットを作成したりできてしまうとBlueboxは解説する。特に端末のメーカーが開発したアプリケーションにトロイの木馬が仕込まれた場合、Androidシステムやアプリケーション、および保存されたデータにフルアクセスされ、実質的に制御されてしまう恐れがあるという。

　ブログには、この脆弱性を突いてHTC製のアプリを改ざんし、端末上のあらゆるパーミッションを取得できることを示したデモ画像も掲載された。

　この脆弱性は、「暗号を使ってAndroidアプリケーションを認証／インストールする方法における矛盾」に起因するとBlueboxは説明。Android 1.6がリリースされた時点から脆弱性が存在しており、過去4年の間に発売された約9億台の端末に影響する可能性があると指摘する。

　同社は2013年2月にGoogleへこの問題を報告し、各端末のメーカーからファームウェアアップデートが配信される予定だという。脆弱性についての詳しい情報は、7月末から8月にかけて米ラスベガスで開かれるBlack Hatで発表を予定している。

これは大変だ。。
iOS は大丈夫だよね？

Androidは、最新のバージョンのみ修正して、あとは放置のことが多いので、心配ですね。。
パッチが出ても、修正されるのはごく一部？

中国製で出ているのなんて、安価に作るがために、未だに2.3を改造したのが、使い続けられているし..............。
Σ(ﾟдﾟlll)ｶﾞｰﾝ