Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア

Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア 11

ストーリー by hylom 2015年07月07日 12時03分
そういう抜け道があるとは部門より

insiderman 曰く、

近年ではスマートフォンを狙って個人情報などを窃取しようとするスパイウェアが増えているが、スマートフォンのOS側もそれに対しアプリ毎に取得できる情報を制限するといった対策を行っている。こうした中、Androidのテキスト読み上げ機能を悪用して端末に表示されるデータを盗み出すという手法を使ったスパイウェアが登場しているそうだ（INTERNET Watch）。
Androidでは通常、ユーザーからの許可を明示的に得ない限り他のアプリからデータを取り出すことはできない。しかし、目が不自由なユーザーなどに向けたテキスト読み上げ機能についてはこの制限がなく、これを悪用することで画面上に表示されるテキストを読み取ることが可能だという。
セキュリティ企業Lookoutによると、これは「AndroRATIntern」と名付けられており、LINEでやり取りされるメッセージを窃取する、といったことも可能だという。この技術を使った製品も「端末の追跡用」などとして販売されているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索11コメント Log In/Create an Account

「ユーザー補助サービス」では、ステータスバー通知（Notification）も取得可能 (スコア:4, 参考になる)

by Printable is bad. (38668) on 2015年07月07日 12時52分 (#2843313)

INTERNET Watch [impress.co.jp]の記事には、
ユーザー補助機能でアクセスできるのは、その時点で端末に表示されているデータのみであり、LINEを使用していない時のメッセージ読み取りや、アーカイブ化したメッセージ（ユーザーがメッセージを開いた場合を除く）にアクセスすることは不可能

とありますが、これは誤りです。
LINE のデフォルト設定では、受信したメッセージは全てNotofication [jpn.org]に送られるので、「ユーザー補助サービス」による取得が可能です。LINE のトーク画面を開いている間は、アクティブなトーク内容は Notofication には行きませんが、「その時点で端末に表示されているデータ」となるので同様に「ユーザー補助サービス」で取得できます。
私は、既読スルー（KS）を嫌がる人とも LINE のメッセージをやり取りせざるを得ない状況なため、ちらみ～既読をつけないでメッセージやメールが読めるアプリ [google.com]を愛用しています。このアプリは「ユーザー補助サービス」を利用して、Notofication に送られるLINEのメッセージを取得するものですが、P-02E [wikipedia.org]できちんと動作しています。これは、インストール時の権限確認とは別に、初回起動時に OS から「ユーザー補助サービス」としての動作に関するパーミッションが求められます。
「ユーザー補助サービス」を利用しているアプリの一覧は、「設定」→「システム」→「ユーザー補助」→「サービス」（上部に表示）で確認できるので、ロックをかけていない場合（もしくは4桁の暗証番号など脆弱な場合、人にパスワードが知られている可能性がある場合、家族や恋人などに教えている場合など）は、定期的に確認することをお勧めします。なお、「サービス」という項目が表示されていない場合には、「ユーザー補助サービス」を利用するアプリがインストールされていません。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  引用部をことわりなく改変(強調の付加)するな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    デュフフ
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    なぜ？
    強調がダメということは、↓こういうふうに色をつけたりするのもダメなのかな？
    http://takagi-hiromitsu.jp/diary/ [takagi-hiromitsu.jp]
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      改変部がきちんと区別できることと誰が改変したのか提示することが重要かな。
      特に注意書きが無いので、元から強調されていたのか引用部だけでは判断できない。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        なぜ「引用部だけ」で判断する必要があるのだろう？
        引用元にちゃんとリンクも張ってるのに。
        元がHTMLの場合、マークアップも含めて改変禁止とか言い出したら、
        部分引用で開始タグは引用部に含まれるけど終了タグは含まれないなんてことも起きそう。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Notificationね。
  コメントタイトルでは正しく綴っているのに、その後3回"Noto~"なのは何故なのだろうか。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Hylomだからではないでしょうか
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ユーザー補助サービスってステータスバー通知を取得したりしてそれをトリガに動作するための機能って思ってるユーザや開発者も大勢いるだろうしなぁ…
  例：アイコンの並び順制御のため、ステータスバー通知の発生をトリガにアイコン登録し直すアプリなど
なんだ (スコア:0)

by Anonymous Coward on 2015年07月07日 22時36分 (#2843675)

Chromeのことを言っているのかと思った
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ChromeもFirefoxも大抵のa11yのAPIに対応しているので、androidに限らなければ別に間違いというわけでもないですね。スパイウェアを権限で防ぐっていう思考方法はユーザーによほどの知識がないとうまくいかないです。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア 11

Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア More ログイン

「ユーザー補助サービス」では、ステータスバー通知（Notification）も取得可能 (スコア:4, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

なんだ (スコア:0)

Re: (スコア:0)

スラド