2017年05月18日 15時00分 公開
特集/連載

Google Playアプリのクリックジャッキング対策に不備か「Android O」を待つ必要あり?(1/2 ページ)

GoogleはAndroidにクリックジャッキング攻撃への対策を講じた。だが悪意ある行為者にとっては抜け道が1つ残っており、この脆弱性が修正されるのは「Android O」以降だという。

[Michael Heller,TechTarget]

関連キーワード

Google | Android


Google I/O 2017でβ版が発表された「Android O」の説明ページ《クリックで拡大》

 セキュリティ専門家によれば、Googleがセキュリティと使いやすさのバランスを考慮した結果、Androidには現在、悪意ある行為者がクリックジャッキング攻撃に利用できる脆弱性が存在しているという(編注:クリックジャッキング攻撃は視覚的にユーザーをだましてWebページのうそのリンクなどをクリックさせる攻撃)。

 Googleが「Android 6.0 Marshmallow」で講じた措置によって、Androidにクリックジャッキング攻撃を仕掛けるのは「かなり難しく」なった。だがセキュリティ企業Check Point Software Technologiesの新しい報告によれば、Googleはクリックジャッキング攻撃の問題を完全に解決したわけではないようだ。

 この問題は、アプリケーションを他のアプリケーションの上に重ねて表示できるAndroidの機能に由来する。マルウェア対策企業Bitdefenderの電子脅威担当上席研究者を務めるリヴィウ・アーセン氏によれば、この機能はさまざまな形で悪用される可能性があるという。

 「画面オーバーレイ機能を悪用したアプリケーションは、正規のアプリケーション上にフィッシング詐欺画面を重ねて表示することで、ユーザーをだまし、パスワードなどの機密情報を聞き出せる場合がある」とアーセン氏は語る。十分に説得力のあるフィッシング詐欺画面を用意し、画面に表示する内容を巧みに改ざんすれば、アプリケーションをアンインストールさせる、セキュリティソフトウェアを削除させる、悪意あるアプリケーションをインストールさせる、銀行口座情報を聞き出すといったことが可能だという。

 Check Point Software Technologiesのモバイル調査チームによれば、Googleはこうした画面オーバーレイ機能の悪用を防ぐために「Android 6.0」に新しいパーミッションモデルを導入したが、現状ではGoogle Playストアからインストールしたアプリケーションにはその効果は発揮されないという。

 画面オーバーレイ機能を使うためのパーミッション(SYSTEM_ALERT_WINDOW)について、Check Point Software Technologiesはブログで次のように説明する。「Googleはこのパーミッションに問題があり、ユーザーのプライバシーをリスクにさらす危険性があることを理解していた。そこで前述した通り、このパーミッションを明示的に許可するための手順を用意した。だがこの変更はすぐに問題を引き起こした。Facebook Messengerのチャットヘッド機能など、正規のアプリケーションにもこのパーミッションを必要とするものがあるからだ」。そこでGoogleは一時的な措置としてAndroidのバージョン6.0.1にパッチを当て、Google PlayストアのアプリケーションがSYSTEM_ALERT_WINDOWパーミッションを求めている場合にはパーミッションを与えるようにした。つまりGoogle Playストアから直接ダウンロードしたものであれば、悪意あるアプリケーションであっても、この危険なパーミッションが自動的に与えられるということだ。

 モバイルセキュリティ企業Skycureの最高技術責任者(CTO)、ヤイール・アミット氏によれば、これは「セキュリティとユーザビリティの間の古典的なトレードオフ」だという。

       1|2 次のページへ

ITmedia マーケティング新着記事

news061.jpg

インフルエンサーがスポーツ観戦で最も利用しているSNSは「Instagram」――LIDDELL調べ
東京五輪の開催中に情報収集や投稿でSNSを活用すると回答した人は全体の96.9%に上りまし...

news031.jpg

ライブコマースを今始めるべき理由と成功するためのポイント 17LIVEのCEOに聞く
オンラインでのショッピング体験の充実がコロナ禍の課題となっている。新たな手法として...

news148.jpg

ミレニアル世代とZ世代 日本では5割超が経済見通しを悲観――デロイト トーマツ調査
ミレニアル世代とZ世代では組織で成功するスキルとして「柔軟性・適応性」を挙げた人が最...