Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア 11
ストーリー by hylom
そういう抜け道があるとは 部門より
そういう抜け道があるとは 部門より
insiderman 曰く、
近年ではスマートフォンを狙って個人情報などを窃取しようとするスパイウェアが増えているが、スマートフォンのOS側もそれに対しアプリ毎に取得できる情報を制限するといった対策を行っている。こうした中、Androidのテキスト読み上げ機能を悪用して端末に表示されるデータを盗み出すという手法を使ったスパイウェアが登場しているそうだ(INTERNET Watch)。
Androidでは通常、ユーザーからの許可を明示的に得ない限り他のアプリからデータを取り出すことはできない。しかし、目が不自由なユーザーなどに向けたテキスト読み上げ機能についてはこの制限がなく、これを悪用することで画面上に表示されるテキストを読み取ることが可能だという。
セキュリティ企業Lookoutによると、これは「AndroRATIntern」と名付けられており、LINEでやり取りされるメッセージを窃取する、といったことも可能だという。この技術を使った製品も「端末の追跡用」などとして販売されているようだ。
「ユーザー補助サービス」では、ステータスバー通知(Notification)も取得可能 (スコア:4, 参考になる)
INTERNET Watch [impress.co.jp]の記事には、
とありますが、これは誤りです。
LINE のデフォルト設定では、受信したメッセージは全てNotofication [jpn.org]に送られるので、「ユーザー補助サービス」による取得が可能です。LINE のトーク画面を開いている間は、アクティブなトーク内容は Notofication には行きませんが、「その時点で端末に表示されているデータ」となるので同様に「ユーザー補助サービス」で取得できます。
私は、既読スルー(KS)を嫌がる人とも LINE のメッセージをやり取りせざるを得ない状況なため、ちらみ~既読をつけないでメッセージやメールが読めるアプリ [google.com]を愛用しています。このアプリは「ユーザー補助サービス」を利用して、Notofication に送られるLINEのメッセージを取得するものですが、P-02E [wikipedia.org]できちんと動作しています。これは、インストール時の権限確認とは別に、初回起動時に OS から「ユーザー補助サービス」としての動作に関するパーミッションが求められます。
「ユーザー補助サービス」を利用しているアプリの一覧は、「設定」→「システム」→「ユーザー補助」→「サービス」(上部に表示)で確認できるので、ロックをかけていない場合(もしくは4桁の暗証番号など脆弱な場合、人にパスワードが知られている可能性がある場合、家族や恋人などに教えている場合など)は、定期的に確認することをお勧めします。なお、「サービス」という項目が表示されていない場合には、「ユーザー補助サービス」を利用するアプリがインストールされていません。