掲示板

Androidで設計上避けられない脆弱性を利用した攻撃方法が公開される

アプリ権限を悪用してキー入力を記録・パスワード窃取・マルウェア入りアプリインストールなどやりたい放題できる脆弱性「Cloak and Dagger」はAndroidの設計上の問題で解決困難
http://gigazine.net/news/20170525-cloak-and-dagger/


これはつまり、透明の画面を一番上に乗せることがいつでも出来るので、キーロガー仕込み放題。という事と、裏に画面を仕込む事が出来るので、裏に隠した設定画面を出してユーザーの手で許可を押させる事ができる。
というアンドロイドアプリの自由度の高さが可能にした脆弱性(?)って事ですかね(間違ってたらご指摘下さい)

確かに既存アプリに影響を与えずに根本的に解決するのは難しそうです。
脆弱性に使われる二つの権限について許可をユーザーに出させれば気づかせる事はできますが、かなり誤解を与えそうな気も…。

キーロガーはバックグラウンドでやれる事を制限するとか、裏画面は設定をバックグラウンド面で呼びせないようにすれば良いのかな?
どちらにせよgoogleにしかできない対処法ですが。

でもまあよく考えるものです。


因みにiOSではこの攻撃はほぼ無理じゃないかと思います。ここまでの自由度は無いはず。


7 件のコメント
1 - 7 / 7
srowt
srowtさん・投稿者
マスター
でもまあ、そんなに新規性は感じないというか、そりゃまあ出来るけど…という感想というのが正直なところではあります。

昔一瞬だけ流行ったカレログみたいなことができるんだから、こういうのも出来そうだよねっていう。
退会済みメンバー
退会済みメンバーさん
ビギナー
元々、アプリにはほぼ全権を許可していて、すでにデータはほとんど読み取られている。
パスワードを盗まれるのは心配だけど、銀行系はほとんどがワンタイムパスワードで、こういうアタックには耐性がある。
まあ、そういうこともあるよね、程度かな。

でも、有用な情報ありがとう。
オーバーレイ機能 OFFすればいいじゃん
http://www.itmedia.co.jp/news/articles/1705/25/news114.html

「WannaCry」からデバイス守る、実はウソ――“偽Androidアプリ”に注意

-----

ご参考まで。
こういうニュースを見るたびにiPhoneで良かったな〜と思います…

見るたびにっていうのがミソなんですが、過去にもAndroidの脆弱性のニュースって本当に何回も見ているのですが、それらは全て解決されているのでしょうか…

ニュースは出るけど、しばらくすると落ち着くというか、忘れ去られていき、問題は未解決のままのような気がするのですが…

AndroidOSのアップデートも、端末メーカーによりまちまちですよね

iOSはコードも非公開だし、OSのアップデートも1機種で3〜4年は可能ですし、アプリも一応Appleの審査を通らないと公開出来ないし(完璧ではないと思いますよ、変なアプリを入れないように自己防衛も必要)、色んな意味で安心感がありますね
srowt
srowtさん・投稿者
マスター
ここでの肝はいわゆる"draw on top/other apps"という他のアプリの実行中でも画面を被せられるというテクニックと、必要な許可がSYSTEM_ALERT_WINDOWという警告ウィンドウを出すための許可なので、許可しないわけにはいかないという特性を利用した事にあるのかなと(まだ情報収集中ですが)。

イタチゴッコにはなりますが、この挙動をキャッチするアプリもまた作成可能だとは思うので、深刻になればアンチマルウェアアプリが対応してくるかもしれませんね。

なんにせよ「Androidって小さいけど立派なPCだよね(だからある意味なんでもアリだよね)」って認識は持ち続けないといけないんでしょうねえ。
srowt
srowtさん・投稿者
マスター
追記:キモが全然キモじゃなかったww
オーバーレイ権限はせざるを得えない権限ではないですね。GooglePlayで自動的に許可されるみたいですが。

でも6.0なら設定でオーバーレイを抑止できるので、慎重であればキーロガーは回避できるかな?
(オーバーレイ検出が回避されてると気がつかないので厄介でしょうけど)
コメントするには、ログインまたはメンバー登録(無料)が必要です。