GoogleはAndroidにクリックジャッキング攻撃への対策を講じた。だが悪意ある行為者にとっては抜け道が1つ残っており、この脆弱性が修正されるのは「Android O」以降だという。
セキュリティ専門家によれば、Googleがセキュリティと使いやすさのバランスを考慮した結果、Androidには現在、悪意ある行為者がクリックジャッキング攻撃に利用できる脆弱性が存在しているという(編注:クリックジャッキング攻撃は視覚的にユーザーをだましてWebページのうそのリンクなどをクリックさせる攻撃)。
Googleが「Android 6.0 Marshmallow」で講じた措置によって、Androidにクリックジャッキング攻撃を仕掛けるのは「かなり難しく」なった。だがセキュリティ企業Check Point Software Technologiesの新しい報告によれば、Googleはクリックジャッキング攻撃の問題を完全に解決したわけではないようだ。
この問題は、アプリケーションを他のアプリケーションの上に重ねて表示できるAndroidの機能に由来する。マルウェア対策企業Bitdefenderの電子脅威担当上席研究者を務めるリヴィウ・アーセン氏によれば、この機能はさまざまな形で悪用される可能性があるという。
「画面オーバーレイ機能を悪用したアプリケーションは、正規のアプリケーション上にフィッシング詐欺画面を重ねて表示することで、ユーザーをだまし、パスワードなどの機密情報を聞き出せる場合がある」とアーセン氏は語る。十分に説得力のあるフィッシング詐欺画面を用意し、画面に表示する内容を巧みに改ざんすれば、アプリケーションをアンインストールさせる、セキュリティソフトウェアを削除させる、悪意あるアプリケーションをインストールさせる、銀行口座情報を聞き出すといったことが可能だという。
Check Point Software Technologiesのモバイル調査チームによれば、Googleはこうした画面オーバーレイ機能の悪用を防ぐために「Android 6.0」に新しいパーミッションモデルを導入したが、現状ではGoogle Playストアからインストールしたアプリケーションにはその効果は発揮されないという。
画面オーバーレイ機能を使うためのパーミッション(SYSTEM_ALERT_WINDOW)について、Check Point Software Technologiesはブログで次のように説明する。「Googleはこのパーミッションに問題があり、ユーザーのプライバシーをリスクにさらす危険性があることを理解していた。そこで前述した通り、このパーミッションを明示的に許可するための手順を用意した。だがこの変更はすぐに問題を引き起こした。Facebook Messengerのチャットヘッド機能など、正規のアプリケーションにもこのパーミッションを必要とするものがあるからだ」。そこでGoogleは一時的な措置としてAndroidのバージョン6.0.1にパッチを当て、Google PlayストアのアプリケーションがSYSTEM_ALERT_WINDOWパーミッションを求めている場合にはパーミッションを与えるようにした。つまりGoogle Playストアから直接ダウンロードしたものであれば、悪意あるアプリケーションであっても、この危険なパーミッションが自動的に与えられるということだ。
モバイルセキュリティ企業Skycureの最高技術責任者(CTO)、ヤイール・アミット氏によれば、これは「セキュリティとユーザビリティの間の古典的なトレードオフ」だという。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
