米ジョージア工科大学の研究者が、Androidのパーミッションを悪用してユーザーに気づかれないまま端末を制御できてしまう攻撃方法を発見したとして、5月22日付で論文を発表した。この攻撃を「Cloak & Dagger」と命名して解説サイトも公開している。

それによると、この攻撃はAndroidの「System Alert Window」（draw on top）と「Bind Accessibility Service」（a11y）という2つのパーミッションを単独で、または組み合わせて利用する。

この2つのパーミッションは、GoogleのPlay Storeからインストールしたアプリであれば、ユーザーに許可を求める画面が表示されないため、ユーザーに気づかれないまま攻撃を成功させることができてしまうという。

この手口を利用すれば、高度なクリックジャッキング、制約を受けないキー入力の記録、ステルスフィッシング、全ての権限を持った“神モード”アプリのひそかなインストールといった攻撃が可能になるとしている。

研究チームはデモ映像も公開し、「ユーザー20人を対象にした調査で、この攻撃が現実的であることを実証した」と説明。何が起きているのか理解できたユーザーは1人もいなかったと報告した。

透明のグリッドでキー入力を記録できる

今回の問題は主に、Androidのユーザーインタフェース（UI）に存在する設計上の不具合に起因するという。5月20日現在、Android 5.1.1〜最新バージョンの7.1.2で影響を受けることが確認され、それ以前のバージョンも影響を受ける可能性が大きいとしている。

研究チームは2016年から2017年にかけてGoogleのセキュリティチームと連絡を取り合った経緯も公表した。GoogleはAndroid 7.1.2に限ってこの問題に部分的に対処したものの、現時点ではこれをセキュリティ問題とはみなさず、修正しない方針を示しているという。

これに対して研究チームでは、「今回の研究で示した攻撃は、5月5日の最新パッチを適用したAndroid 7.1.2に対してさえも、依然として通用する」と主張している。

Copyright © ITmedia, Inc. All Rights Reserved.