Androidに脆弱性「Cloak and Dagger」が発見されるも、解決は設計上困難……!

セキュリティ

Androidに脆弱性「Cloak and Dagger」が発見されるも、解決は設計上困難……!

投稿日:2017年5月25日 更新日:

参考になったらシェアお願いします!

Androidアプリではインストール時に「どのような権限を与えるか」アプリを制限することができます。しかし、正当な権限を組み合わせることで、全権限を奪われてしまうという脆弱性が発見されました。これは設計上の問題で解決は非常に困難であるとみられています。

スポンサーリンク

「Cloak and Daggar」の仕組み

「隠れミノとダガー」と名付けられた脆弱性の仕組みは、視聴覚障害者をサポートする機能「a11y」と、地図アプリで画面の上に画面を描画する「draw on top」の機能を悪用して、不当に権限を取得します。

スタートボタン

例えば、何の違和感もない初期画面で、スタートボタンをタップすると…

スタートボタンの裏

裏には権限許可画面が隠れていて、権限を許可してしまっているのです。これを繰り替すことによって、権限を不正に獲得できてしまいます。アプリインストールの「OK」ボタンを押させることも可能となり、マルウェアが大量に含まれたアプリを裏でインストールされてもわかりません。

単体での悪用も可能

キーロガー

「draw on top」でキーボードグリッドを重ねれば、キーボードの読み取りができます。これは実験のために見えるよう色付けされていますが、透明であればユーザーにはわかりません。パスワードを抜き取ることもできることになり、詳細は動画で説明されています。

自衛の策はあるのか?

この攻撃手法については、研究者からGoogleに通知済みですが、Android本来の機能を組み合わせただけなので、解決は困難とみられています。研究者のFratantonio氏は「アプリ開発者は、権限を組み合わせることで脆弱性が作られることがあるという事実を踏まえて、機能が相互作用する可能性まで注意を払うべきだ」と述べています。

このような脆弱性から身を守るにはまず、Google Playストアといった信頼できるところからのアプリしかインストールしないこと、基本中の基本ですが、これは絶対条件でしょう。もしものためを考えるならウィルス対策アプリの導入をお勧めします。これからは必須のアプリになってくるかもしれません。

参考URL:GIGAZINE

The following two tabs change content below.
奥村卓也

奥村卓也

通信事業者のネットワークエンジニアとサービスクリエーションに従事した後、フリーランスの道へ。趣味はVespa Vintage 100で旅に出ること。人生はMacとiPhoneとVespaで出来ている。
参考になったらシェアお願いします!

-セキュリティ
-,

スポンサーリンク

最新ニュースをLINEでお届け!

友だち追加

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

利用許諾

HUAWEI(ファーウェイ)の端末使用許諾が危険だと話題に

中国の電子機器メーカーHUAWEI(ファーウェイ)は、ハイエンドスマートフォンのHUAWEI P10シリーズからミドルレンジのHUAWEI NOVAシリーズなどを生産しており、世界的にそのシェアを広げ …

フリートライアル画面

「App Store」へ不正請求アプリが混入している実態が明らかに。その手口とは?

iPhoneユーザーはApp Storeでアプリを検索します。キーワードで検索すると関連するアプリが表示される「Search Ads」という仕組みを悪用して、無料アプリをダウンロードさせ、高額なアプリ …

Snap Pic Collage

Androidに感染する広告ウィルス。一度インストールしてしまうと削除できない…!

Android端末は通常、Google Playからアプリをインストールします。しかし、その中にもウィルスが紛れ込んでいることがわかりました。今回のものは「広告ウィルス」。インストールしてしまうとホー …

詐欺電話の番号

960で始まるモルディブからの国際電話に注意!間違いなく詐欺。

筆者の携帯に「960 7523312」からの電話がかかってきました。モルディブからの国際電話。これは間違いなく詐欺でしょう。先日、キャリアから異例の注意喚起が行われた、パプアニューギニアからの詐欺電話 …

TRENE

カフェでデバイスを盗難から守ってくれる「TRENE」

キングジムは離席中の荷物を監視してくれるデバイス「TRENE」を、クラウドファンディングサイト「Makuake」で販売開始しました。これはカフェなどで離席する際に、机においたままのノートパソコンなどを …