パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Androidの「Toast」機能を使用したオーバーレイ攻撃」記事へのコメント

  • by Anonymous Coward on 2017年09月14日 21時56分 (#3279967)

    アプリとして端末に入り込めているならこんなもん使ってわざわざ僕はここにいるよーと大声で叫ぶ意味がないからなぁ

    この脆弱性を有効に使うためには他アプリで何がインストールされているか、フロントのアプリは何か、画面表示はどうなっているかなどを詳細に知る必要があり
    そんな莫大な権限が許可されているならそれこそこの脆弱性を使うよりも
    もっと他にできることが大量にある

    • Androidのシステムが表示する画面を隠し、インストール後にユーザーの承認が必要な権限を取得する、といったものですよ。
      親コメント
    • by Anonymous Coward

      それは楽観的すぎないか?
      フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、
      例えばユーザーに実行されたくないアプリが起動したタイミングで「アプリのエラーです。再起動してください」という
      メッセージを表示して利用をやめさせる、なんてこともできるだろう(何度も再起動しても同じメッセージが出るので、利用をあきらめるという寸法)。
      ソーシャル攻撃の手段として利用範囲は広いと思うぞ。

      脆弱性というには微妙だとは思うが。

      • by Anonymous Coward

        この世のすべてのOSの「ポップアップ」という概念そのものをすべて否定して回ってきてから出直してきてください
        もちろんMacとかもね

        それでは永久に続く旅にどうぞ出発ください

        • by Anonymous Coward

          ポップアップでボタンを隠したら、その下のボタンは押せないようになっているのが普通のOSの実装だ。

      • by Anonymous Coward

        > フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、

        そのための権限が別途必要
        しかも端末管理者+全面信頼するアシストアプリレベルのかなり重大な権限だよそれ
        そんなもんもらった悪意あるアプリはもっと隠れて他のことを長くひっそりとやる

        > 例えばユーザーに実行されたくないアプリが起動したタイミングで
        > 「アプリのエラーです。再起動してください」という
        > メッセージを表示して利用をやめさせる、なんてこともできるだろう
        > (何度も再起動しても同じメ

    • by Anonymous Coward

      ランサムウェアみたいに操作を不可能にして解除してほしければ・・・とか、
      "他アプリで何がインストールされているか、フロントのアプリは何か、画面表示はどうなっているかなどを詳細に知る必要"は無いと思うけど。
      もちろんAndroidに詳しい人は自力で解除できるだろうけど、そうでない人には割と効果的なのでは?

      • by Anonymous Coward

        > ランサムウェアみたいに操作を不可能にして解除してほしければ・・・とか、
        > "他アプリで何がインストールされているか、フロントのアプリは何か、
        > 画面表示はどうなっているかなどを詳細に知る必要"は無いと思うけど。
        > もちろんAndroidに詳しい人は自力で解除できるだろうけど、そうでない人には割と効果的なのでは?

        そんなもん今回の脆弱性を使わなくてもインテントで勝手に起動するなりサービスから起動させるなりいくらでもできる
        さらに言えば
        何も知らない利用者なんだと前提と置くなら SYSTEM_ALERT_WINDOW 権限だって簡単に渡されるのだから
        なおさらこの脆弱性を使う必要がない

アレゲは一日にしてならず -- アレゲ研究家

処理中...