Google は Android オペレーティング システムのセキュリティ パッチを再び提供したばかりですが、次のいくつかの欠陥がすでに注目を集めています。現在では、パスワード マネージャーですら、悪意のあるフィッシング アプリから安全であるとは言えないようです。より正確には、攻撃者は、影響を受けるユーザーからプライベート (アクセス) データを抽出することを目的として、特別に作成された偽のアプリにユーザーをリダイレクトします。
Android パスワード マネージャー: 何ができるの?
パスワード マネージャー自体は、データ保護において役立つ役割を果たすことができます。これらは、さまざまな、時には複雑なパスワードを頭の中で、またはスマートフォンの中で思い出すのに役立つことを目的としています。これを行うために、マネージャーは自動入力機能を使用するため、ログインに必要なマスター パスワードは 1 つだけです。
従来のデスクトップ マネージャーとは異なり、Android アプリはログイン プロセスの一部として、対応する Web バックエンドと通信する必要があります。したがって、関連するパスワードを提供できるようにするには、パッケージ名 (例: com.facebook.katana) を目的の URL (例: facebook.com) にリンクする必要があります。
何が彼らを脆弱にしているのでしょうか?
ジェノバ大学とフランス南部の EURECOM のセキュリティ研究者が報告しているように、パスワード マネージャーのアプローチはユーザーにとっては簡単ですが、パスワードのセキュリティも弱まります。 Google Play ストアでは、同じ名前の Android パッケージがインポートされないようにします。しかし、検証が不足しているため、フィッシングアプリは依然として管理者に虚偽の情報を押しつける可能性があります。
研究者らによると、その影響は重大です。ユーザーは、押しつけられた偽アプリ (たとえば、com.facebook.evil) をそれ自体認識できない可能性があり、だまされてパスワードを教えることになります。攻撃者サーバーはパスワード マネージャーの自動入力を使用して送信します。
インスタントアプリも浸透する
研究者らが提示した別のシナリオは、Android のインスタント アプリ機能に関するものです。これらを使用すると、ユーザーは Android プログラムをインストールせずに Web サイトにアクセスして試すことができます。次に、ユーザーを Web サイトに誘導し、本物のように見えるアプリが起動され、入力されたパスワードが自動入力によって攻撃者に送信されます。
Googleのパスワード管理ソフト「Smart Lock」だけがフィッシング攻撃の影響を受けなかったという。これは、開発者がアプリを設定するときにパッケージ名と宛先 URL の両方を入力する必要があるためです。
もっとアンドロイド
Android の安全性をさらに高めるために、いくつかのことをまとめました。 たとえば、自分自身を守りたい場合は、次の 8 つの Android 設定をすぐにオフにする必要があります。 Android の暗号化を有効にすることも役立つ場合があります。その他の内容はすべて、 Android トピック ページで見つけることができます。