Google Playアプリのクリックジャッキング対策に不備か「Android O」を待つ必要あり?(1/2 ページ)

GoogleはAndroidにクリックジャッキング攻撃への対策を講じた。だが悪意ある行為者にとっては抜け道が1つ残っており、この脆弱性が修正されるのは「Android O」以降だという。

2017年05月18日 15時00分 公開
[Michael HellerTechTarget]

関連キーワード

Google | Android


Google I/O 2017でβ版が発表された「Android O」の説明ページ《クリックで拡大》

 セキュリティ専門家によれば、Googleがセキュリティと使いやすさのバランスを考慮した結果、Androidには現在、悪意ある行為者がクリックジャッキング攻撃に利用できる脆弱性が存在しているという(編注:クリックジャッキング攻撃は視覚的にユーザーをだましてWebページのうそのリンクなどをクリックさせる攻撃)。

 Googleが「Android 6.0 Marshmallow」で講じた措置によって、Androidにクリックジャッキング攻撃を仕掛けるのは「かなり難しく」なった。だがセキュリティ企業Check Point Software Technologiesの新しい報告によれば、Googleはクリックジャッキング攻撃の問題を完全に解決したわけではないようだ。

 この問題は、アプリケーションを他のアプリケーションの上に重ねて表示できるAndroidの機能に由来する。マルウェア対策企業Bitdefenderの電子脅威担当上席研究者を務めるリヴィウ・アーセン氏によれば、この機能はさまざまな形で悪用される可能性があるという。

 「画面オーバーレイ機能を悪用したアプリケーションは、正規のアプリケーション上にフィッシング詐欺画面を重ねて表示することで、ユーザーをだまし、パスワードなどの機密情報を聞き出せる場合がある」とアーセン氏は語る。十分に説得力のあるフィッシング詐欺画面を用意し、画面に表示する内容を巧みに改ざんすれば、アプリケーションをアンインストールさせる、セキュリティソフトウェアを削除させる、悪意あるアプリケーションをインストールさせる、銀行口座情報を聞き出すといったことが可能だという。

 Check Point Software Technologiesのモバイル調査チームによれば、Googleはこうした画面オーバーレイ機能の悪用を防ぐために「Android 6.0」に新しいパーミッションモデルを導入したが、現状ではGoogle Playストアからインストールしたアプリケーションにはその効果は発揮されないという。

 画面オーバーレイ機能を使うためのパーミッション(SYSTEM_ALERT_WINDOW)について、Check Point Software Technologiesはブログで次のように説明する。「Googleはこのパーミッションに問題があり、ユーザーのプライバシーをリスクにさらす危険性があることを理解していた。そこで前述した通り、このパーミッションを明示的に許可するための手順を用意した。だがこの変更はすぐに問題を引き起こした。Facebook Messengerのチャットヘッド機能など、正規のアプリケーションにもこのパーミッションを必要とするものがあるからだ」。そこでGoogleは一時的な措置としてAndroidのバージョン6.0.1にパッチを当て、Google PlayストアのアプリケーションがSYSTEM_ALERT_WINDOWパーミッションを求めている場合にはパーミッションを与えるようにした。つまりGoogle Playストアから直接ダウンロードしたものであれば、悪意あるアプリケーションであっても、この危険なパーミッションが自動的に与えられるということだ。

 モバイルセキュリティ企業Skycureの最高技術責任者(CTO)、ヤイール・アミット氏によれば、これは「セキュリティとユーザビリティの間の古典的なトレードオフ」だという。

Copyright © ITmedia, Inc. All Rights Reserved.

       1|2 次のページへ

ITmedia マーケティング新着記事

news006.jpg

「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...