[表示 : 全て 最新50 1-99 2ch.scのread.cgiへ]
Update time : 05/26 16:18 / Filesize : 5 KB / Number-of Response : 17
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

【セキュリティ】Androidの設計問題突く攻撃手法「Cloak & Dagger」、米研究者が論文公開



1 名前:ののの ★ [2017/05/25(木) 18:19:10.31 ID:CAP_USER9.net]
www.itmedia.co.jp/enterprise/articles/1705/25/news080.html

この攻撃では、Androidのパーミッションを悪用し、ユーザーに気づかれないまま端末を制御できてしまうという。

[鈴木聖子,ITmedia]2017年05月25日 11時30分 更新

米ジョージア工科大学の研究者が、Androidのパーミッションを悪用してユーザーに気づかれないまま端末を制御できてしまう攻撃方法を発見したとして、5月22日付で論文を発表した。この攻撃を「Cloak & Dagger」と命名して解説サイトも公開している。

 それによると、この攻撃はAndroidの「System Alert Window」(draw on top)と「Bind Accessibility Service」(a11y)という2つのパーミッションを単独で、または組み合わせて利用する。

 この2つのパーミッションは、GoogleのPlay Storeからインストールしたアプリであれば、ユーザーに許可を求める画面が表示されないため、ユーザーに気づかれないまま攻撃を成功させることができてしまうという。

 この手口を利用すれば、高度なクリックジャッキング、制約を受けないキー入力の記録、ステルスフィッシング、全ての権限を持った“神モード”アプリの密かなインストールといった攻撃が可能になるとしている。

 研究チームはデモ映像も公開し、「ユーザー20人を対象にした調査で、この攻撃が現実的であることを実証した」と説明。何が起きているのか理解できたユーザーは1人もいなかったと報告した。

image.itmedia.co.jp/enterprise/articles/1705/25/os_cloak-01.jpg
透明のグリッドでキー入力を記録できる

image.itmedia.co.jp/enterprise/articles/1705/25/os_cloak-02.jpg
重要なメッセージを乗っ取り、「OK」ボタンを押させる

https://youtu.be/NceNhsu87iA
キー入力をすべて記録できる“Invisible Grid Attack”

https://youtu.be/RYQ1i03OVpI
クリックを乗っ取り、裏で自在にアプリのインストールなどを行う“Clickjacking + Silent God-mode App Install”

https://youtu.be/oGKYHavKZ24
偽の画面を表示してパスワードを盗む“Stealthy Phishing Attack"

今回の問題は主に、Androidのユーザーインタフェース(UI)に存在する設計上の不具合に起因するという。5月20日現在、Android 5.1.1〜最新バージョンの7.1.2で影響を受けることが確認され、それ以前のバージョンも影響を受ける可能性が大きいとしている。

 研究チームは2016年から2017年にかけてGoogleのセキュリティチームと連絡を取り合った経緯も公表した。GoogleはAndroid 7.1.2に限ってこの問題に部分的に対処したものの、現時点ではこれをセキュリティ問題とはみなさず、修正しない方針を示しているという。

 これに対して研究チームでは、「今回の研究で示した攻撃は、5月5日の最新パッチを適用したAndroid 7.1.2に対してさえも、依然として通用する」と主張している。






[ 続きを読む ] / [ 携帯版 ]

全部読む 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](*・∀・)<5KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef