米国の大学ジョージア工科大学とカリフォルニア大学のセキュリティ研究者は、ほとんどすべての最新の Android デバイスを気づかれずに監視するために使用できる攻撃方法を開発しました。 「Cloak and Dagger」と呼ばれるこの手法により、攻撃者はエントリのログを記録したり、パスワードを傍受したり、任意の数の権限でアプリをインストールしたりすることができます。
これを行うために、攻撃者は、実際には無害なアプリの 2 つの権限を利用します。たとえば、SYSTEM_ALERT_WINDOW (「上に描画」とも呼ばれます) 権限により、アプリは画面コンテンツの上に非表示のレイヤーを配置できます。ユーザーの明示的な同意を必要としないこの無害と思われる認可により、たとえば Facebook Messenger の「チャットヘッド」が可能になります。攻撃者はこれを使用して、通常のキーボードの上に非表示のキーボードを配置し、入力を監視することもできます。攻撃者はトリックを使用して追加の権利を取得することもできます。
Playストアに侵入
そのうちの 1 つは「BIND_ACCESSIBILITY_SERVICE」エイリアス「a11y」で、パスワード、PIN の読み取り、および広告の挿入も可能になります。セキュリティ研究者は、デモ アプリで「ゴッド モード」も作成しました。彼らは、バックグラウンドですべての権限を持つ悪意のあるアプリをインストールするための 2 つの権限を組み合わせました。これは、検出を防ぐために、一見無害な名前で偽装されました。これは、スマートフォンを完全に制御および監視できることを意味します。
セキュリティ研究者によると、そのようなアプリを Play ストアに挿入することは簡単に可能でした。バックグラウンドでトロイの木馬をダウンロードする機能は隠蔽されていなかったが、Googleは数時間以内にPlayストアで公開した。米国の企業は現在、改善を行うことを誓い、そのようなアプリを詳しく調査することを約束した。
Android O だけで実現できる真のソリューション
「Cloak and Dagger」の問題: これは実際にはセキュリティ アップデートで修正できるバグではなく、オペレーティング システム内の設計上の欠陥です。それが、 Google が Android O でのみ本当の解決策を約束した理由であり、これはもはや不可能であるはずです。 Android 7.1.2 では、トロイの木馬のインストールとパスワードの読み取りのみが部分的に制限されていました。
Android Oがリリースされるまでは、出所不明のアプリのインストールには注意が必要だろう。セキュリティ研究者らは、アプリが権限を悪用していないかどうかを確認することも推奨している。