デバイス管理者の権限を狙うAndroid向けランサムウェア 30
ストーリー by hylom
より凶悪に 部門より
より凶悪に 部門より
あるAnonymous Coward 曰く、
シマンテックが新しいAndroidランサムウェアの亜種を発見した。このランサムウェアには「Android.Lockdroid.E」という名称が付けられている(Symantec、SoftPedia、Slashdot)。
このランサムウェアはアダルト系アプリを装っており、インストールして実行するとGoogle関連のパッケージをインストールするという旨の画面が表示されて「Continue」ボタンをクリックするよう促されるのだが、このウィンドウはアプリに管理権限を与えるかどうかを確認する画面に重ねて表示されており、ここで「Continue」ボタンをタップすると管理権限を与えるウィンドウの「有効にする」ボタンをタップすることになってしまうそうだ。
管理者権限を取得した後はデバイスをロックし暗証番号を変更。さらに出荷時設定にリセットしてユーザーデータをすべて削除するという。
Android 5.0では管理権限付与の確認画面上に別のウィンドウを重ねることができなくなっているためこのような攻撃は行えないとのことだが、古いバージョンのAndroidについては未だこの攻撃は有効だという。
ユーザーデータをすべてクリアって (スコア:1)
何をどう脅迫するの?
Re:ユーザーデータをすべてクリアって (スコア:1)
金を受け取った後にクリアするんじゃない?
Re: (スコア:0)
ちょっと意味がよくわからないけど、そのランサムウェアさえ残っていれば脅迫することはできるんじゃないの?
営利目的誘拐で、誘拐した人質を早々に殺しておきながら「返して欲しければ○千万円をよこせ」なんて言うパターンで。
そんな事件がかつて日本でもよくあったと覚えてるのは40代以上でしょうかね。
Re: (スコア:0)
金払えば復旧可能にしてやる
↓
支払確認
↓
ストレジ復旧サービスへ斡旋
って感じで二度おいしい状態なのかも
# まさかゼロ埋めしているわけじゃなし
Re: (スコア:0)
どう権限を使うかはともかく、脅しとしては有効かな。いつやられるかわからんのだから。
Re: (スコア:0)
>> 管理者権限を取得した後はデバイスをロックし暗証番号を変更。
>> さらに出荷時設定にリセットしてユーザーデータをすべて削除するという。
この書き方だと、この中のどのタイミングでどうやって脅迫してるのかサッパリですね。
「デバイスをロックし」以降、持ち主がどうやって脅迫メッセージを視認しているのか分からない。
恐らく、「ロックし暗証番号を変更」の前にまず脅迫メッセージが出て、
送金手続き以外の操作へ移行した場合には、それ以降の動作へ進むのではないかと。
Re: (スコア:0)
何このFUD
Re: (スコア:0)
メジャーバージョンが2つも前のOSとか、脆弱性修正されなくても不思議じゃないだろ。
(脆弱性って呼ぶほどのことでもない気がするが……)
OSをアップデートすれば良いだけの話。
それにPCのブラウザでも、同じようなことが可能だぞ。
本物のサイトの上に透明な偽の入力フォームを重ねて、入力内容を盗聴するって手法がある。
Re: (スコア:0)
> OSをアップデートすれば良いだけの話。
アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。
Two-thirds of Android users are affected [softpedia.com]
... The bad news is that two-thirds of the Android ecosystem is
still running older versions of Android, where this clickjacking
technique can be used without users ever suspecting a thing.
> それにPCのブラウザ
Re: (スコア:0)
> アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。
じゃあandroidはなんも関係ないじゃん。
アップデートを提供しないキャリアやメーカが危険なだけじゃん。
そんな危険な会社利用するの、やめたら?
> それは「PCも危険」という話で、Androidの危険性が減じるわけではない。
そうだね。
WindowsもMacもiOSもUbuntuもandroidも、みんなみんな危険だね。
Re: (スコア:0)
> じゃあandroidはなんも関係ないじゃん。
脆弱性はAndroidに見つかったんだから、関係あるだろうw
Re: (スコア:0)
Androidは大いに関係あるね。
iOSもWindows mobileもWindowsもMacもUbuntuもOSメーカーがキャリアやデバイスメーカーに依存せずに
セキュリティパッチを配布できる。
Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。
これはGoogleが設計したAndroidシステムとそのビジネスモデルの一番の欠陥だろう。
Re: (スコア:0)
> Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。
いや怠惰じゃなくて、わざわざカスタマイズして意図的に止めてるでしょ?
意図的に止めてるんだから、android側をどんな仕組みにしようと、その仕組みを止められるだけじゃん。
本当に怠惰だったら、カスタマイズしない=パッチも適用されるはず。
別に全部のメーカがパッチ提供してないわけじゃないのに、パッチ提供を拒否する一部の極悪メーカの
所業を、androidに責任転嫁するのはどうなの……。
> これはGoogleが設計したAndro
Re:度重なる脆弱性 (スコア:1)
バイナリを統一できていないのはAndroidの設計の問題では? だったら設計したGoogleに責任があるでしょう。
元はといえば、特定のドライバのためだけにカーネルの再ビルドを要求するLinuxの設計の問題なんでしょうけど。
Windowsみたいに、ちゃんとハードウェア固有部分とカーネルを疎結合できていれば、各社が別々のバイナリを使うなんてことは起きないはず。
Re:度重なる脆弱性 (スコア:1)
> 意図的に止めてるんだから、android側をどんな仕組みにしようと、その仕組みを止められるだけじゃん。
コア部分のカスタマイズを厳密に禁じて、そこへGoogleが直接セキュリティパッチを配布する
仕組みを持たせる設計にすることもできたはず。そうせずに、サードパーティーが全ての
ソースコードに手を入れることを許し、バイナリレベルでの同一性を保証せずに、
コンパチビリティテストにパスするだけの緩い条件しか課さなかったのはGoogleの決断。
そしてそれは間違った判断だった。
> なんで他社が提供したデバイスのケツを、Googleが持たなきゃいけないんだ。
だってその他社のデバイス上で動いているAndroidを経由して2.6兆円も収入を得ている [it.srad.jp]んだもん。
そういう風なビジネスモデルを設計して、そこからお金を得ているんだから、
それらをセキュアに保つ責任があるでしょ。
Re: (スコア:0)
そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。
別に直接的にお金とってるわけじゃないし……。
事情はどうあれカスタマイズしたのはメーカ側なんだから、その後のアップデートについても
数年はメーカがサポートするべきじゃないかな。
ちゃんとサポートしてるメーカもあるわけで、そこまで無理なことではないと思う。
Googleだって1年半くらいしかアップデート保証してなかったと思うし。
まあでもWebViewコンポーネントをOSから別けたりしてるし、Googleも少しは改善させたいと
思ってるんじゃないかな。大分先の話になるんだろうけれど。
Re: (スコア:0)
> そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。
言えないでしょ。みんなが使ってくれているおかげで、2.6兆円の利益を得ているんだから。
Re: (スコア:0)
脆弱性の解消は社会的な義務です。
なぜなら脆弱性の放置は電子犯罪者の幇助そのものだからです。
どんな形であれ稼働しているシステムの脆弱性を放置する事はマルウェアやランサムウェア作者の利益の一部を分け前として得ているのと同じことです。
もちろん脆弱性の解消は能力の限りでしかできません。費用的制限もあれば、技術的制限もあるでしょう。
製作者が利益を得ておらず、あるいは経営が危機的状態にあるならやむを得ないとみなされるでしょう。あるいは開発から十分な時間が経過している場合も現状そうでしょう。
しかしこの件ではそうではありません。
Re:度重なる脆弱性 (スコア:1)
> バイナリを統一できていないのはAndroidの設計の問題では? だったら設計したGoogleに責任があるでしょう。
ない。
> 元はといえば、特定のドライバのためだけにカーネルの再ビルドを要求するLinuxの設計の問題なんでしょうけど。
ちがう。
> Windowsみたいに、ちゃんとハードウェア固有部分とカーネルを疎結合できていれば、各社が別々のバイナリを使うなんてことは起きないはず。
それはできない。
Windows PhoneがCPUのベンダどころか加速度センサの型番まで指定しているのは、Microsoftですらハードウェア固有部分とカーネルを分離することができていないから。
携帯電話機の魔境ではSnapdragonとTegraの両方で起動するだけのカーネルバイナリを作るという水準のことすら実現していない。同じCPUの基板が二種類あるだけでも同じものが起動するかどうかは分からない。
まずメモリマップを統一するところから。
Re: (スコア:0)
> iOSもWindows mobileもWindowsもMacもUbuntuもOSメーカーがキャリアやデバイスメーカーに依存せずに
セキュリティパッチを配布できる。
Windows Mobileはできない
Windows 10 MobileとWindows Mobileの区別が付かないバカなら念を押しておくけどWindows 10 Mobileもできない
Re: (スコア:0)
> WindowsもMacもiOSもUbuntuも
それらは基本的にOSのアップデートが数年はあるけどな。
Android端末は、発売されてから1度もアップデートがないとか、不具合をまとめて1回だけやりましたという端末がごろごろしてるから。
Re: (スコア:0)
メジャーなメーカーで、アップデートやってないとこなんて無いよ。
Re: (スコア:0)
セキュリティフィックスをやってるところはあるかもしれないが、メジャーアップデートやってるところは一気に減るでしょう。
やっても、マイナーアップデートくらい。しかも1回だけとか。
スペック的に問題なくても、最新OSを追いかけるようなことはありえないよね。
Re: (スコア:0)
京セラもシャープもろくにアップデートしてないし、ASUSだってそんなにやってないだろ。
Sonyだってアップデートしない端末もある。
お前が言うメジャーなメーカーってどこだよ。
GoogleとSamsungぐらいだろ。
Re: (スコア:0)
LGもね。
Re: (スコア:0)
「メジャーバージョン」って言い方はちょっとずるいな。
年1回メジャーバージョンアップしておいて、「メジャーバージョンが2世代前だから」なんて、言葉のごまかし以外の何ものでもないよ。
あと、ブラウザと比べるのも議論のすりかえ。OSの権限付与ダイアログの話なんだから。
WindowsのUACの権限昇格ダイアログでは、当然こんなことはできないように、画面がロックされる仕組みになっている。
明らかにAndroidのセキュリティは水準が低い。
Re: (スコア:0)
Ubuntu「それな。」
……いやそうじゃなくて、2014年にリリースされたVer.では直ってる問題を取り上げて、
「ほんとAndroidはズタボロだな」ってのは違うんじゃね?という話。
そりゃあ有償で歴史も長いWindowsと比べたら、セキュリティ水準は低いんじゃない?
2014年より前のVer.で比べたら。
Re: (スコア:0)
UACがついたのはVistaでVistaが出たのはいつだっけ???
そのあと7と8と8.1と10があるわけで。
Re: (スコア:0)
度重なる脆弱性なら他のOSもいい勝負できそう。