Google Playアプリのクリックジャッキング対策に不備か：「Android O」を待つ必要あり？（1/2 ページ）

GoogleはAndroidにクリックジャッキング攻撃への対策を講じた。だが悪意ある行為者にとっては抜け道が1つ残っており、この脆弱性が修正されるのは「Android O」以降だという。

[Michael Heller，TechTarget]

Google I／O 2017でβ版が発表された「Android O」の説明ページ《クリックで拡大》

　セキュリティ専門家によれば、Googleがセキュリティと使いやすさのバランスを考慮した結果、Androidには現在、悪意ある行為者がクリックジャッキング攻撃に利用できる脆弱性が存在しているという（編注：クリックジャッキング攻撃は視覚的にユーザーをだましてWebページのうそのリンクなどをクリックさせる攻撃）。

　Googleが「Android 6.0 Marshmallow」で講じた措置によって、Androidにクリックジャッキング攻撃を仕掛けるのは「かなり難しく」なった。だがセキュリティ企業Check Point Software Technologiesの新しい報告によれば、Googleはクリックジャッキング攻撃の問題を完全に解決したわけではないようだ。

併せて読みたいお薦め記事

Androidのセキュリティ問題

• Androidの“正規アプリ”4種にスパイウェア混入――業界蒼白の仕組みとは
• 「Android 7.0」の“こっそり更新機能”で危ないスマホがなくなる？
• 「Androidはキケン」とまだ思っている？　マルウェア感染を困難にする分厚い“壁”

ライバルiOSの動向

• iPhoneユーザーが少し自慢できる「iOS 10」のセキュリティ新機能
• iPhone搭載の「iOS」を好む人と、「Android」が大好きな人の違い
• iOS安全神話を台無しにするモバイルセキュリティ「3つの死角」

　この問題は、アプリケーションを他のアプリケーションの上に重ねて表示できるAndroidの機能に由来する。マルウェア対策企業Bitdefenderの電子脅威担当上席研究者を務めるリヴィウ・アーセン氏によれば、この機能はさまざまな形で悪用される可能性があるという。

　「画面オーバーレイ機能を悪用したアプリケーションは、正規のアプリケーション上にフィッシング詐欺画面を重ねて表示することで、ユーザーをだまし、パスワードなどの機密情報を聞き出せる場合がある」とアーセン氏は語る。十分に説得力のあるフィッシング詐欺画面を用意し、画面に表示する内容を巧みに改ざんすれば、アプリケーションをアンインストールさせる、セキュリティソフトウェアを削除させる、悪意あるアプリケーションをインストールさせる、銀行口座情報を聞き出すといったことが可能だという。

　Check Point Software Technologiesのモバイル調査チームによれば、Googleはこうした画面オーバーレイ機能の悪用を防ぐために「Android 6.0」に新しいパーミッションモデルを導入したが、現状ではGoogle Playストアからインストールしたアプリケーションにはその効果は発揮されないという。

　画面オーバーレイ機能を使うためのパーミッション（SYSTEM_ALERT_WINDOW）について、Check Point Software Technologiesはブログで次のように説明する。「Googleはこのパーミッションに問題があり、ユーザーのプライバシーをリスクにさらす危険性があることを理解していた。そこで前述した通り、このパーミッションを明示的に許可するための手順を用意した。だがこの変更はすぐに問題を引き起こした。Facebook Messengerのチャットヘッド機能など、正規のアプリケーションにもこのパーミッションを必要とするものがあるからだ」。そこでGoogleは一時的な措置としてAndroidのバージョン6.0.1にパッチを当て、Google PlayストアのアプリケーションがSYSTEM_ALERT_WINDOWパーミッションを求めている場合にはパーミッションを与えるようにした。つまりGoogle Playストアから直接ダウンロードしたものであれば、悪意あるアプリケーションであっても、この危険なパーミッションが自動的に与えられるということだ。

　モバイルセキュリティ企業Skycureの最高技術責任者（CTO）、ヤイール・アミット氏によれば、これは「セキュリティとユーザビリティの間の古典的なトレードオフ」だという。