※こちらの情報は2024年12月現在はアップデートで解決されています。
5月22日に米ジョージア工科大学の研究者がAndroidのパーミッションを悪用し、「ユーザーに気づかれないまま端末を制御できてしまう攻撃方法を発見した」と論文を発表しました。
パーミッションというのはアクセス権限の事です。どのファイルにアクセス(表示・変更など)が出来るかを管理するもの…という感じでしょうか。
この論文によると、Androidの「System Alert Window」と「Bind Accessibirity」という2つのパーミッションを単独もしくは組み合わせて利用するそうです。Androidシステムの中には「System Alert Window」、「Bind Accessibirity」というパーミッションが組み込まれています。
システムで通常使用される分にはなんら問題ありませんが、このパーミッションを使えるようなアプリを開発し、悪用すると大変な事になってしまいます。
上記2つのパーミッションは、GoogleのPlayStoreからインストールしたアプリなら、ユーザーに許可を求める画面が表示されないので、ユーザーに気づかれないうちに乗っ取り操作をする事が出来てしまいます。
これを利用して、画面クリック操作、キー入力の記録、すべての権限を持つ「神モード」アプリの密かなインストールが出来てしまうとか…
気づかれずにキー入力操作をすべて記録
重要メッセージを乗っ取って「OK」ボタンを押す
今回の論文を発表した研究チームは、「ユーザー20人を対象にした調査で、この攻撃が現実的である事を実証した」と説明していて、何が起こっているのか理解できたユーザーは1人もいなかったとも報告しています。恐ろしい事ですね。
Androidのユーザーインターフェースに存在する設計上の不具合があり、その為に今回のような事が実現できてしまうそうです。5月20日時点で、Android 5.1.1~最新バージョン7.1.2で影響を受ける事が確認されていて、5.1.1以前のバージョンも影響を受ける可能性が大きいとも報告されています。
研究チームは2016年から2017年にかけてGoogleのセキュリティチームと連絡を取り合いましたが、GoogleはAndroid 7.1.2に限って今回の問題に部分的に対処したものの、現在ではセキュリティ問題とはみなさず、修正しない方針だそうです…
Googleの対応に対して研究チームでは「今回の研究で示した攻撃は、5月5日の最新パッチを適用したAndroid 7.1.2に対してさえも、依然として通用する」と主張しています。
Androidユーザーにとっては、ただ怖いだけの論文発表になってしまいました。
今の所は、インストールアプリを確認して、インストールした覚えのないアプリを削除するようにする…くらいしか無さそうです。
Androidユーザーの皆さん、くれぐれもお気を付けください。
