Androidで設計上避けられない脆弱性を利用した攻撃方法が公開される
アプリ権限を悪用してキー入力を記録・パスワード窃取・マルウェア入りアプリインストールなどやりたい放題できる脆弱性「Cloak and Dagger」はAndroidの設計上の問題で解決困難
http://gigazine.net/news/20170525-cloak-and-dagger/
これはつまり、透明の画面を一番上に乗せることがいつでも出来るので、キーロガー仕込み放題。という事と、裏に画面を仕込む事が出来るので、裏に隠した設定画面を出してユーザーの手で許可を押させる事ができる。
というアンドロイドアプリの自由度の高さが可能にした脆弱性(?)って事ですかね(間違ってたらご指摘下さい)
確かに既存アプリに影響を与えずに根本的に解決するのは難しそうです。
脆弱性に使われる二つの権限について許可をユーザーに出させれば気づかせる事はできますが、かなり誤解を与えそうな気も…。
キーロガーはバックグラウンドでやれる事を制限するとか、裏画面は設定をバックグラウンド面で呼びせないようにすれば良いのかな?
どちらにせよgoogleにしかできない対処法ですが。
でもまあよく考えるものです。
因みにiOSではこの攻撃はほぼ無理じゃないかと思います。ここまでの自由度は無いはず。
7 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
昔一瞬だけ流行ったカレログみたいなことができるんだから、こういうのも出来そうだよねっていう。
パスワードを盗まれるのは心配だけど、銀行系はほとんどがワンタイムパスワードで、こういうアタックには耐性がある。
まあ、そういうこともあるよね、程度かな。
でも、有用な情報ありがとう。
「WannaCry」からデバイス守る、実はウソ――“偽Androidアプリ”に注意
-----
ご参考まで。
見るたびにっていうのがミソなんですが、過去にもAndroidの脆弱性のニュースって本当に何回も見ているのですが、それらは全て解決されているのでしょうか…
ニュースは出るけど、しばらくすると落ち着くというか、忘れ去られていき、問題は未解決のままのような気がするのですが…
AndroidOSのアップデートも、端末メーカーによりまちまちですよね
iOSはコードも非公開だし、OSのアップデートも1機種で3〜4年は可能ですし、アプリも一応Appleの審査を通らないと公開出来ないし(完璧ではないと思いますよ、変なアプリを入れないように自己防衛も必要)、色んな意味で安心感がありますね
イタチゴッコにはなりますが、この挙動をキャッチするアプリもまた作成可能だとは思うので、深刻になればアンチマルウェアアプリが対応してくるかもしれませんね。
なんにせよ「Androidって小さいけど立派なPCだよね(だからある意味なんでもアリだよね)」って認識は持ち続けないといけないんでしょうねえ。
オーバーレイ権限はせざるを得えない権限ではないですね。GooglePlayで自動的に許可されるみたいですが。
でも6.0なら設定でオーバーレイを抑止できるので、慎重であればキーロガーは回避できるかな?
(オーバーレイ検出が回避されてると気がつかないので厄介でしょうけど)