2017年05月18日 15時00分 UPDATE
特集/連載

「Android O」を待つ必要あり?Google Playアプリのクリックジャッキング対策に不備か (1/2)

GoogleはAndroidにクリックジャッキング攻撃への対策を講じた。だが悪意ある行為者にとっては抜け道が1つ残っており、この脆弱性が修正されるのは「Android O」以降だという。

[Michael Heller,TechTarget]

関連キーワード

Google | Android


Google I/O 2017でβ版が発表された「Android O」の説明ページ《クリックで拡大》

 セキュリティ専門家によれば、Googleがセキュリティと使いやすさのバランスを考慮した結果、Androidには現在、悪意ある行為者がクリックジャッキング攻撃に利用できる脆弱性が存在しているという(編注:クリックジャッキング攻撃は視覚的にユーザーをだましてWebページのうそのリンクなどをクリックさせる攻撃)。

 Googleが「Android 6.0 Marshmallow」で講じた措置によって、Androidにクリックジャッキング攻撃を仕掛けるのは「かなり難しく」なった。だがセキュリティ企業Check Point Software Technologiesの新しい報告によれば、Googleはクリックジャッキング攻撃の問題を完全に解決したわけではないようだ。

 この問題は、アプリケーションを他のアプリケーションの上に重ねて表示できるAndroidの機能に由来する。マルウェア対策企業Bitdefenderの電子脅威担当上席研究者を務めるリヴィウ・アーセン氏によれば、この機能はさまざまな形で悪用される可能性があるという。

 「画面オーバーレイ機能を悪用したアプリケーションは、正規のアプリケーション上にフィッシング詐欺画面を重ねて表示することで、ユーザーをだまし、パスワードなどの機密情報を聞き出せる場合がある」とアーセン氏は語る。十分に説得力のあるフィッシング詐欺画面を用意し、画面に表示する内容を巧みに改ざんすれば、アプリケーションをアンインストールさせる、セキュリティソフトウェアを削除させる、悪意あるアプリケーションをインストールさせる、銀行口座情報を聞き出すといったことが可能だという。

 Check Point Software Technologiesのモバイル調査チームによれば、Googleはこうした画面オーバーレイ機能の悪用を防ぐために「Android 6.0」に新しいパーミッションモデルを導入したが、現状ではGoogle Playストアからインストールしたアプリケーションにはその効果は発揮されないという。

 画面オーバーレイ機能を使うためのパーミッション(SYSTEM_ALERT_WINDOW)について、Check Point Software Technologiesはブログで次のように説明する。「Googleはこのパーミッションに問題があり、ユーザーのプライバシーをリスクにさらす危険性があることを理解していた。そこで前述した通り、このパーミッションを明示的に許可するための手順を用意した。だがこの変更はすぐに問題を引き起こした。Facebook Messengerのチャットヘッド機能など、正規のアプリケーションにもこのパーミッションを必要とするものがあるからだ」。そこでGoogleは一時的な措置としてAndroidのバージョン6.0.1にパッチを当て、Google PlayストアのアプリケーションがSYSTEM_ALERT_WINDOWパーミッションを求めている場合にはパーミッションを与えるようにした。つまりGoogle Playストアから直接ダウンロードしたものであれば、悪意あるアプリケーションであっても、この危険なパーミッションが自動的に与えられるということだ。

 モバイルセキュリティ企業Skycureの最高技術責任者(CTO)、ヤイール・アミット氏によれば、これは「セキュリティとユーザビリティの間の古典的なトレードオフ」だという。

       1|2 次のページへ

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news008.jpg

佐藤尚之氏が語る、新規獲得が難しい時代だからこそ「ファン」を大切にすべき理由
これからのマーケティングが「ファンベース」であるべき理由とは何か。コミュニケーショ...

news134.jpg

Oracle、IBM、Adobeが語るデジタルマーケティングの新潮流
主要マーケティングツールベンダーは現在のマーケティングトレンドをどう見ているのか。...

news112.jpg

KDDI、ショッピングモール「Wowma!」出店店舗の中国向け越境EC参入をサポート
KDDIは、越境ECプラットフォーム「豌豆 (ワンドウ) プラットフォーム」を運営するInagora...