ラスベガス発--「Android」に、研究者が言うところの「設計上の脆弱性」があることがわかった。これを悪用すると、フィッシングによってデータを盗み出したり、迷惑なポップアップ広告を携帯端末に表示させたりすることが可能になるという。
TrustwaveのSpiderLabsチームでシニアバイスプレジデント兼責任者を務めるNicholas Percoco氏が米国時間8月6日、この調査についてハッカー向けカンファレンス「DEF CON 19」で予定しているプレゼンテーションの前に述べたところによると、ユーザーが正規の銀行用アプリケーションを使用しているときに、害がないように見えて実は偽のログインページを表示するといったアプリケーションを開発できるという。
現在のAndroidでは、あるアプリケーションを表示している際に別のアプリケーションがユーザーとやりとりしようとする場合、画面上部の通知バーにアラートが表示される仕組みになっている。だがPercoco氏によると、Androidのソフトウェア開発キット(SDK)には、特定のアプリケーションをフォアグラウンドに強制的に表示させるために使えるアプリケーションプログラミングインターフェース(API)が用意されているという。
「Androidでは、『戻る』ボタン(を押した場合)の標準的な処理をオーバーライドできる」と、TrustwaveのSSL(Secure Sockets Layer)担当開発者であるSean Schulte氏は述べている。
研究者らは、表向きはゲームでありながら、「Facebook」、「Amazon.com」、「Google Voice」、およびGoogleの電子メールクライアントを装った偽の表示画面を呼び出す概念実証ツールを開発した。Percoco氏によると、このツールは正規のアプリケーション内にペイロードの一部として自らをインストールし、サービスとして登録するため、端末を再起動すると立ち上がるという。
この設計上の脆弱性を利用すると、ゲームやアプリケーションの開発者はターゲット型のポップアップ広告が開発できるとPercoco氏は述べている。こういった広告は、多くのポップアップ表示のように単にうっとうしいだけかもしれないが、競合他社のアプリケーションが使われているときを狙ってポップアップ表示させるといったこともできると同氏は付け加えた。
Schulte氏によると、ユーザーがアプリケーションをダウンロードする際に表示される許可項目では、この機能に関する警告は一切表示されないという。アプリケーションからすれば、いわゆる「Activity Service」で端末の状態をチェックする正当な機能だからだ。
Percoco氏によると、研究者らが今回の調査結果について数週間前にGoogleの担当者に連絡したところ、担当者は問題があることを認め、Googleとしてはこの機能を使っている可能性のある正規アプリケーションの機能を一切損なうことなく問題に対処する方法を模索していると述べたという。
Googleの広報にコメントを求めたところ、この件について調査する意向であるとの回答を得た。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力