研究者によると、開発者はAndroidの設計上の欠陥によって、迷惑なポップアップ広告やフィッシング攻撃をモバイルアプリに忍び込ませることができるという。
ラスベガス–研究者たちは、犯罪者がフィッシングでデータを盗んだり、広告主が携帯電話に迷惑なポップアップ広告を出したりするのに使われる可能性のあるアンドロイドの設計上の欠陥を発見した。
Trustwaveの上級副社長兼SpiderLabsの責任者であるニコラス・パーココ氏は、本日開催されたDefConハッカーカンファレンスでの研究発表に先立ち、「開発者は、一見無害に見えるアプリを作成することができるが、例えば、ユーザーが正規の銀行アプリを使用しているときに、偽の銀行アプリのログインページを表示させることができる。
現在、別のアプリを表示中にユーザーとコミュニケーションを取りたいアプリは、画面上部の通知バーにアラートをプッシュするだけだ。 しかし、アンドロイドのソフトウェア開発キットには、特定のアプリを前面に押し出すためのアプリケーション・プログラミング・インターフェースがある、と彼は言う。
「Trustwave社のSSL(セキュア・ソケット・レイヤー)開発者であるショーン・シュルテ氏は、「Androidでは、(戻るボタンを押す)標準を上書きすることができます。
「そのため、アプリはフォーカスを盗むことができ、あなたは戻るボタンを押して終了することができません。
研究者たちは、ゲームでありながらフェイスブック、アマゾン、グーグルボイス、グーグルの電子メールクライアントの偽表示を引き起こす概念実証ツールを作成した。 このツールは、正規のアプリの中にペイロードの一部としてインストールされ、サービスとして登録されるため、携帯電話が再起動した後にも起動する、とパーココは言う。
ユーザーがアプリを開き、フェイスブックのログイン画面が表示されるデモでは、異変が起きたことを示す唯一の兆候は、多くのユーザーが気づかないほど素早い画面の点滅だけだ。 偽の画面は正規の画面と完全に置き換わるので、ユーザーには何も異常がないことがわからない。
この設計上の欠陥があれば、ゲームやアプリの開発者はターゲットを絞ったポップアップ広告を作ることができる、とパーココは言う。 ほとんどのポップアップがそうであるように、広告は単に迷惑なだけかもしれないが、競合他社のアプリが使用されているときに広告をポップアップさせるようなターゲットにすることもできる、と彼は付け加えた。
「クリスチャン・パパタナシウとともに昨年のDefConでアンドロイド・ルートキットのデモを行ったパーココは言う。
シュルテ氏によれば、アプリがアクティビティ・サービスと呼ばれる機能で電話の状態をチェックするのは正当な機能であるため、ユーザーがアプリをダウンロードする際に表示されるパーミッションに赤旗が立つことはないという。
Percoco氏によると、研究者たちは数週間前にグーグルの誰かにこの発見について話をし、その人物は問題があることを認め、同社はこの問題を使用している可能性のある合法的なアプリの機能を壊すことなく対処する方法を見つけようとしていると述べたという。
コメントを求められたグーグルの担当者は、この問題を調査すると答えた。
2011年8月8日午後3時50分更新 PT グーグルの広報担当者は次のように述べた:「アプリケーション間の切り替えは、アプリケーション間のリッチなインタラクションを促進するために多くのアプリケーションで使用されている望ましい機能です。私たちは、Androidマーケットで悪意を持ってこの技術を使用しているアプリを見たことがありません。
グーグルの広報担当者はまた、この機能の使用例としてビジドンのAppLockをCNETに紹介した。 このアプリは顔認識技術を使い、Gmailアプリなど、携帯電話の一部への不正アクセスを防ぐ。 この例の脆弱性で説明されている機能を合法的に使用すると、タップしたときにAppLockのパスワード要求インターフェースをGmailのものよりもスライドさせることになる。 AppLockはあなたの顔をパスワードとして使用するため、スライドさせ、あなたの顔を承認されたパスワードとして認識させ、その後スライドさせる。
2011年8月8日19:40更新 PT グーグル声明に対するパーココの回答:「アプリケーションの切り替えは問題ではない。本当の問題は、他のアプリがどのアプリがフォアグラウンドにあるかを識別し、ユーザーが許可することなく実行中のアプリの前に飛び出すことです。また、悪意のあるアプリと正規のアプリの違いは、ユーザーが悪意のあるアプリとして報告するまで、どちらもほとんど同じに見えるため、どのように判断できるのかもわからない。アプリが悪質だと報告されるまで待ってから削除する」というスタンスは危険であり、Googleがアプリを特定してマーケットから削除するよりも、攻撃者の方がはるかに速くアプリを投稿できるため、おそらく実りのない努力であることが判明するだろう。”
CNETのSeth Rosenblattが寄稿した。
Source:https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/