激変するモバイル業界の情報をお届けするメディア

Android

Androidに脆弱性「Cloak and Dagger」が発見されるも、解決は設計上困難……!

投稿日:

Androidアプリではインストール時に「どのような権限を与えるか」アプリを制限することができます。しかし、正当な権限を組み合わせることで、全権限を奪われてしまうという脆弱性が発見されました。これは設計上の問題で解決は非常に困難であるとみられています。

スポンサーリンク

「Cloak and Daggar」の仕組み

「隠れミノとダガー」と名付けられた脆弱性の仕組みは、視聴覚障害者をサポートする機能「a11y」と、地図アプリで画面の上に画面を描画する「draw on top」の機能を悪用して、不当に権限を取得します。

スタートボタン

例えば、何の違和感もない初期画面で、スタートボタンをタップすると…

スタートボタンの裏

裏には権限許可画面が隠れていて、権限を許可してしまっているのです。これを繰り替すことによって、権限を不正に獲得できてしまいます。アプリインストールの「OK」ボタンを押させることも可能となり、マルウェアが大量に含まれたアプリを裏でインストールされてもわかりません。

単体での悪用も可能

キーロガー

「draw on top」でキーボードグリッドを重ねれば、キーボードの読み取りができます。これは実験のために見えるよう色付けされていますが、透明であればユーザーにはわかりません。パスワードを抜き取ることもできることになり、詳細は動画で説明されています。

自衛の策はあるのか?

この攻撃手法については、研究者からGoogleに通知済みですが、Android本来の機能を組み合わせただけなので、解決は困難とみられています。研究者のFratantonio氏は「アプリ開発者は、権限を組み合わせることで脆弱性が作られることがあるという事実を踏まえて、機能が相互作用する可能性まで注意を払うべきだ」と述べています。

このような脆弱性から身を守るにはまず、Google Playストアといった信頼できるところからのアプリしかインストールしないこと、基本中の基本ですが、これは絶対条件でしょう。もしものためを考えるならウィルス対策アプリの導入をお勧めします。これからは必須のアプリになってくるかもしれません。

参考URL:GIGAZINE

-Android
-, ,

スポンサーリンク

最新ニュースをLINEでお届け!

友だち追加

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

おじいちゃん・おばあちゃん世代のソリューション。「らくらくスマートフォン4」の世界。

世の中はスマートフォン全盛期。高齢者にも「スマートフォンを使ってみたい」という要望はあります。しかし、使えなくては意味がない。この「らくらくスマートフォン」はハードウェア設計の段階から使いやすいように …

Eccectial本体

「Android生みの親」が送り出したスマートフォン「Essectial」の何が「違う」のか。

本日、Android社の創業者であるアンディ・ルービン氏が、以前より予告していたSIMフリースマートフォン「Essential」を発表しました。各メディアでそのような記事がありますが、このスマートフォ …

Android

手に入れたら感染済み!?買った時点でマルウェアに感染しているAndroidスマホが多数見つかる。

Androidスマホは自分好みにカスタマイズができるところが魅力のひとつです。iPhoneにはほとんどカスタマイズの余地がありません。一方で、Androidスマホはマルウェアからの感染から身を守ること …

Mario

スーパーマリオランのAndroid版。3月23日に待望のリリース。

既に配信されているiOS版のスーパーマリオラン。当初の期待は大きかったのですが、今のゲーム業界において課金制をとり、期待を下回る結果となりました。しかし、その逆境においても課金ユーザーは増え続け、堅調 …

galaxy

Galaxy Note7発火事故を受け、Samsungが返却されていない端末を強制停止させる予定。

Samsungのスマートフォン「Galaxy Note7」は設計上の問題から発火する事故が大量に発生しました。現在、リコールがされていますが、残り4%が未だに回収できていません。この端末に対して強制停 …