Androidに脆弱性「Cloak and Dagger」が発見されるも、解決は設計上困難……!

セキュリティ

Androidに脆弱性「Cloak and Dagger」が発見されるも、解決は設計上困難……!

投稿日:2017年5月25日 更新日: コメント (0)


Androidアプリではインストール時に「どのような権限を与えるか」アプリを制限することができます。しかし、正当な権限を組み合わせることで、全権限を奪われてしまうという脆弱性が発見されました。これは設計上の問題で解決は非常に困難であるとみられています。

スポンサーリンク

「Cloak and Daggar」の仕組み

「隠れミノとダガー」と名付けられた脆弱性の仕組みは、視聴覚障害者をサポートする機能「a11y」と、地図アプリで画面の上に画面を描画する「draw on top」の機能を悪用して、不当に権限を取得します。

スタートボタン

例えば、何の違和感もない初期画面で、スタートボタンをタップすると…

スタートボタンの裏

裏には権限許可画面が隠れていて、権限を許可してしまっているのです。これを繰り替すことによって、権限を不正に獲得できてしまいます。アプリインストールの「OK」ボタンを押させることも可能となり、マルウェアが大量に含まれたアプリを裏でインストールされてもわかりません。

単体での悪用も可能

キーロガー

「draw on top」でキーボードグリッドを重ねれば、キーボードの読み取りができます。これは実験のために見えるよう色付けされていますが、透明であればユーザーにはわかりません。パスワードを抜き取ることもできることになり、詳細は動画で説明されています。

自衛の策はあるのか?

この攻撃手法については、研究者からGoogleに通知済みですが、Android本来の機能を組み合わせただけなので、解決は困難とみられています。研究者のFratantonio氏は「アプリ開発者は、権限を組み合わせることで脆弱性が作られることがあるという事実を踏まえて、機能が相互作用する可能性まで注意を払うべきだ」と述べています。

このような脆弱性から身を守るにはまず、Google Playストアといった信頼できるところからのアプリしかインストールしないこと、基本中の基本ですが、これは絶対条件でしょう。もしものためを考えるならウィルス対策アプリの導入をお勧めします。これからは必須のアプリになってくるかもしれません。

参考URL:GIGAZINE

-セキュリティ -,

スポンサーリンク

奥村卓也

通信事業者のネットワークエンジニアとサービスクリエーションに従事した後、フリーランスの道へ。趣味はVespa Vintage 100で旅に出ること。人生はMacとiPhoneとVespaで出来ている。


comment

メールアドレスが公開されることはありません。


最新ニュースをLINEでお届け!

友だち追加