サイバーセキュリティ企業のCheck Point Software Technologiesは、Androidデバイスに不正なデータを読み込ませる手法として、外部ストレージ経由で実行される「Man-in-the-Disk」攻撃の可能性を警告した。Googleの示したガイドラインに従わず、不適切な方法で外部ストレージにアクセスするAndroidアプリが悪用される。
Man-in-the-Diskは、SDメモリカードといった外部ストレージの利用可能なAndroid OS搭載スマートフォンやタブレットが対象となるサイバー攻撃手法。SDメモリなどに保存されているデータを許可なく書き換えることで、狙ったアプリに不正なデータを読み込ませられるという。
Android OSには、内部ストレージと外部ストレージの2種類が用意されている。内部ストレージは、各アプリが個別に使う領域で、サンドボックスにより分離されるなどのセキュリティ対策が施されている。一方の外部ストレージは、アプリがほかのアプリとデータをやり取りしたり、PCとデータ交換したりする際に利用される。サンドボックスなどの保護機構は設けられておらず、セキュリティ確保のためには各アプリがGoogleのガイドラインを守って使わなければならない。
セキュリティがアプリ任せであるため、ガイドラインに反した外部ストレージの使い方をするアプリも存在する。そうしたアプリは、外部ストレージへ一時保存したデータが改変されても、疑うことなくそのまま読み込む。その結果、意図しない動きを実行させられたり、別の不正アプリインストールに利用されたりする。
Check Pointがいくつかのアプリを調べたところ、Google製アプリにもガイドラインに違反しているものが見つかった。たとえば、「Google翻訳」「Yandex.Translate」「Google音声入力」は、外部ストレージからのデータ読み込み時にデータの真正性を確認しないため、不正に書き換えられてもそのままデータを受け付ける。「Xiaomi Browser」は、アップデート用コードを外部ストレージに一時保存するのだが、このコードがすり替えられると攻撃用コードを実行してしまう。
Man-in-the-Diskに悪用されるアプリは、ほかにも多数あると考えられる。しかも、Android OSに保護機能がないため、ユーザーによる対策は難しい。「Google Play」以外のアプリストアを利用しない、という対応は有効だが、それも完璧ではない。
なお、Googleは各アプリのMan-in-the-Disk攻撃対策を完了させたという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス