パスワードを忘れた? アカウント作成
Close
12258607 story
Android

Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア 11

ストーリー by hylom
そういう抜け道があるとは 部門より
insiderman 曰く、

近年ではスマートフォンを狙って個人情報などを窃取しようとするスパイウェアが増えているが、スマートフォンのOS側もそれに対しアプリ毎に取得できる情報を制限するといった対策を行っている。こうした中、Androidのテキスト読み上げ機能を悪用して端末に表示されるデータを盗み出すという手法を使ったスパイウェアが登場しているそうだ(INTERNET Watch)。

Androidでは通常、ユーザーからの許可を明示的に得ない限り他のアプリからデータを取り出すことはできない。しかし、目が不自由なユーザーなどに向けたテキスト読み上げ機能についてはこの制限がなく、これを悪用することで画面上に表示されるテキストを読み取ることが可能だという。

セキュリティ企業Lookoutによると、これは「AndroRATIntern」と名付けられており、LINEでやり取りされるメッセージを窃取する、といったことも可能だという。この技術を使った製品も「端末の追跡用」などとして販売されているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア More

  • INTERNET Watch [impress.co.jp]の記事には、

    ユーザー補助機能でアクセスできるのは、その時点で端末に表示されているデータのみであり、LINEを使用していない時のメッセージ読み取りや、アーカイブ化したメッセージ(ユーザーがメッセージを開いた場合を除く)にアクセスすることは不可能

    とありますが、これは誤りです。

    LINE のデフォルト設定では、受信したメッセージは全てNotofication [jpn.org]に送られるので、「ユーザー補助サービス」による取得が可能です。LINE のトーク画面を開いている間は、アクティブなトーク内容は Notofication には行きませんが、「その時点で端末に表示されているデータ」となるので同様に「ユーザー補助サービス」で取得できます。

    私は、既読スルー(KS)を嫌がる人とも LINE のメッセージをやり取りせざるを得ない状況なため、ちらみ~既読をつけないでメッセージやメールが読めるアプリ [google.com]を愛用しています。このアプリは「ユーザー補助サービス」を利用して、Notofication に送られるLINEのメッセージを取得するものですが、P-02E [wikipedia.org]できちんと動作しています。これは、インストール時の権限確認とは別に、初回起動時に OS から「ユーザー補助サービス」としての動作に関するパーミッションが求められます。

    「ユーザー補助サービス」を利用しているアプリの一覧は、「設定」→「システム」→「ユーザー補助」→「サービス」(上部に表示)で確認できるので、ロックをかけていない場合(もしくは4桁の暗証番号など脆弱な場合、人にパスワードが知られている可能性がある場合、家族や恋人などに教えている場合など)は、定期的に確認することをお勧めします。なお、「サービス」という項目が表示されていない場合には、「ユーザー補助サービス」を利用するアプリがインストールされていません。

    • Re: (スコア:0)

      by Anonymous Coward

      引用部をことわりなく改変(強調の付加)するな。

      • Re: (スコア:0)

        by Anonymous Coward

        デュフフ

      • Re: (スコア:0)

        by Anonymous Coward

        なぜ?
        強調がダメということは、↓こういうふうに色をつけたりするのもダメなのかな?
        http://takagi-hiromitsu.jp/diary/ [takagi-hiromitsu.jp]

        • Re: (スコア:0)

          by Anonymous Coward

          改変部がきちんと区別できることと誰が改変したのか提示することが重要かな。
          特に注意書きが無いので、元から強調されていたのか引用部だけでは判断できない。

          • Re: (スコア:0)

            by Anonymous Coward

            なぜ「引用部だけ」で判断する必要があるのだろう?
            引用元にちゃんとリンクも張ってるのに。

            元がHTMLの場合、マークアップも含めて改変禁止とか言い出したら、
            部分引用で開始タグは引用部に含まれるけど終了タグは含まれないなんてことも起きそう。

    • Re: (スコア:0)

      by Anonymous Coward

      Notificationね。

      コメントタイトルでは正しく綴っているのに、その後3回"Noto~"なのは何故なのだろうか。

      • Re: (スコア:0)

        by Anonymous Coward

        Hylomだからではないでしょうか

    • Re: (スコア:0)

      by Anonymous Coward

      ユーザー補助サービスってステータスバー通知を取得したりしてそれをトリガに動作するための機能って思ってるユーザや開発者も大勢いるだろうしなぁ…
      例:アイコンの並び順制御のため、ステータスバー通知の発生をトリガにアイコン登録し直すアプリなど

  • なんだ (スコア:0)

    by Anonymous Coward on 2015年07月07日 22時36分 (#2843675)

    Chromeのことを言っているのかと思った

    • Re: (スコア:0)

      by Anonymous Coward

      ChromeもFirefoxも大抵のa11yのAPIに対応しているので、androidに限らなければ別に間違いというわけでもないですね。スパイウェアを権限で防ぐっていう思考方法はユーザーによほどの知識がないとうまくいかないです。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds