Androidに設計上の脆弱性--迷惑広告やフィッシングの恐れ

　ラスベガス発--「Android」に、研究者が言うところの「設計上の脆弱性」があることがわかった。これを悪用すると、フィッシングによってデータを盗み出したり、迷惑なポップアップ広告を携帯端末に表示させたりすることが可能になるという。

　TrustwaveのSpiderLabsチームでシニアバイスプレジデント兼責任者を務めるNicholas Percoco氏が米国時間8月6日、この調査についてハッカー向けカンファレンス「DEF CON 19」で予定しているプレゼンテーションの前に述べたところによると、ユーザーが正規の銀行用アプリケーションを使用しているときに、害がないように見えて実は偽のログインページを表示するといったアプリケーションを開発できるという。

　現在のAndroidでは、あるアプリケーションを表示している際に別のアプリケーションがユーザーとやりとりしようとする場合、画面上部の通知バーにアラートが表示される仕組みになっている。だがPercoco氏によると、Androidのソフトウェア開発キット（SDK）には、特定のアプリケーションをフォアグラウンドに強制的に表示させるために使えるアプリケーションプログラミングインターフェース（API）が用意されているという。

　「Androidでは、『戻る』ボタン（を押した場合）の標準的な処理をオーバーライドできる」と、TrustwaveのSSL（Secure Sockets Layer）担当開発者であるSean Schulte氏は述べている。

　研究者らは、表向きはゲームでありながら、「Facebook」、「Amazon.com」、「Google Voice」、およびGoogleの電子メールクライアントを装った偽の表示画面を呼び出す概念実証ツールを開発した。Percoco氏によると、このツールは正規のアプリケーション内にペイロードの一部として自らをインストールし、サービスとして登録するため、端末を再起動すると立ち上がるという。

　この設計上の脆弱性を利用すると、ゲームやアプリケーションの開発者はターゲット型のポップアップ広告が開発できるとPercoco氏は述べている。こういった広告は、多くのポップアップ表示のように単にうっとうしいだけかもしれないが、競合他社のアプリケーションが使われているときを狙ってポップアップ表示させるといったこともできると同氏は付け加えた。

　Schulte氏によると、ユーザーがアプリケーションをダウンロードする際に表示される許可項目では、この機能に関する警告は一切表示されないという。アプリケーションからすれば、いわゆる「Activity Service」で端末の状態をチェックする正当な機能だからだ。

　Percoco氏によると、研究者らが今回の調査結果について数週間前にGoogleの担当者に連絡したところ、担当者は問題があることを認め、Googleとしてはこの機能を使っている可能性のある正規アプリケーションの機能を一切損なうことなく問題に対処する方法を模索していると述べたという。

　Googleの広報にコメントを求めたところ、この件について調査する意向であるとの回答を得た。