Androidが狙われる「Man-in-the-Disk」攻撃--SDカード経由でスマホに不正侵入

 サイバーセキュリティ企業のCheck Point Software Technologiesは、Androidデバイスに不正なデータを読み込ませる手法として、外部ストレージ経由で実行される「Man-in-the-Disk」攻撃の可能性を警告した。Googleの示したガイドラインに従わず、不適切な方法で外部ストレージにアクセスするAndroidアプリが悪用される。

不正アプリのインストールに悪用される例(出典:Check Point)
不正アプリのインストールに悪用される例(出典:Check Point)

 Man-in-the-Diskは、SDメモリカードといった外部ストレージの利用可能なAndroid OS搭載スマートフォンやタブレットが対象となるサイバー攻撃手法。SDメモリなどに保存されているデータを許可なく書き換えることで、狙ったアプリに不正なデータを読み込ませられるという。

 Android OSには、内部ストレージと外部ストレージの2種類が用意されている。内部ストレージは、各アプリが個別に使う領域で、サンドボックスにより分離されるなどのセキュリティ対策が施されている。一方の外部ストレージは、アプリがほかのアプリとデータをやり取りしたり、PCとデータ交換したりする際に利用される。サンドボックスなどの保護機構は設けられておらず、セキュリティ確保のためには各アプリがGoogleのガイドラインを守って使わなければならない。

 セキュリティがアプリ任せであるため、ガイドラインに反した外部ストレージの使い方をするアプリも存在する。そうしたアプリは、外部ストレージへ一時保存したデータが改変されても、疑うことなくそのまま読み込む。その結果、意図しない動きを実行させられたり、別の不正アプリインストールに利用されたりする。

外部ストレージから改ざんされたデータを読み込んでしまう(出典:Check Point)
外部ストレージから改ざんされたデータを読み込んでしまう(出典:Check Point)

 Check Pointがいくつかのアプリを調べたところ、Google製アプリにもガイドラインに違反しているものが見つかった。たとえば、「Google翻訳」「Yandex.Translate」「Google音声入力」は、外部ストレージからのデータ読み込み時にデータの真正性を確認しないため、不正に書き換えられてもそのままデータを受け付ける。「Xiaomi Browser」は、アップデート用コードを外部ストレージに一時保存するのだが、このコードがすり替えられると攻撃用コードを実行してしまう。

クラッシュさせられたGoogle翻訳(出典:Check Point)
クラッシュさせられたGoogle翻訳(出典:Check Point)

 Man-in-the-Diskに悪用されるアプリは、ほかにも多数あると考えられる。しかも、Android OSに保護機能がないため、ユーザーによる対策は難しい。「Google Play」以外のアプリストアを利用しない、という対応は有効だが、それも完璧ではない。

 なお、Googleは各アプリのMan-in-the-Disk攻撃対策を完了させたという。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]