パスワードを忘れた? アカウント作成
13408562 story
Android

Androidの「Toast」機能を使用したオーバーレイ攻撃 18

ストーリー by hylom
パンを焼く機能ではない 部門より
headless曰く、

Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性(CVE-2017-0752)についてPalo Alto Networksが解説している(Palo Alto NetworksのブログThreatpostV3Register)。

オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示(SYSTEM_ALERT_WINDOW)」のアクセス権限が必要だった。

新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではToastを全画面表示し、オーバーレイウィンドウと同様に使用できることを確認したとのこと。

この脆弱性はAndroid 8.0を除くすべてのバージョンのAndroidが影響を受け、9月のセキュリティパッチで修正されている。なお、この脆弱性を狙った攻撃は現在のところ確認されていないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年09月14日 16時14分 (#3279726)

    Bluetooth の件も含めて 9 月のセキュリティパッチは必須だね。

    • by Anonymous Coward

      BlueBorneのことを言ってるなら、
      軽いものも含めて8つの脆弱性を全部合わせて「とにかく致命的脆弱性なんだ!」と言ってるかなりの粗悪燃料の可能性が出てきてるけどな
      まぁしばらくセキュリティ各社が内容吟味してからじゃないと実際にどのくらいの内容なのかはわからないが

  • by Anonymous Coward on 2017年09月14日 16時57分 (#3279772)

    あれ、うっとおしいんだよな何とかならないかな
    # ちが

    • by Anonymous Coward

      仕組みは同様だからAndroidに限らない問題だな

    • by Anonymous Coward

      Firefox for AndroidにしてμBlock Originプラグインを導入すればよい。

  • by Anonymous Coward on 2017年09月14日 17時12分 (#3279781)

    表示時間を最長に設定しても数秒で消えてしまうのに、上手く騙せるものなのか?

    • by Anonymous Coward

      脳に質問内容が届く前に「はい」を押せちゃうんだぜ?

    • by Anonymous Coward

      通知の表示って2,3秒でも長くないか?
      邪魔で消そうとしたらタッチになってしまって更にイライラってことがよくある。

    • by Anonymous Coward

      連続で表示すればいい

      • by Anonymous Coward

        瞬くので余計不自然だ。

  • by Anonymous Coward on 2017年09月14日 21時56分 (#3279967)

    アプリとして端末に入り込めているならこんなもん使ってわざわざ僕はここにいるよーと大声で叫ぶ意味がないからなぁ

    この脆弱性を有効に使うためには他アプリで何がインストールされているか、フロントのアプリは何か、画面表示はどうなっているかなどを詳細に知る必要があり
    そんな莫大な権限が許可されているならそれこそこの脆弱性を使うよりも
    もっと他にできることが大量にある

    • Androidのシステムが表示する画面を隠し、インストール後にユーザーの承認が必要な権限を取得する、といったものですよ。
      親コメント
    • by Anonymous Coward

      それは楽観的すぎないか?
      フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、
      例えばユーザーに実行されたくないアプリが起動したタイミングで「アプリのエラーです。再起動してください」という
      メッセージを表示して利用をやめさせる、なんてこともできるだろう(何度も再起動しても同じメッセージが出るので、利用をあきらめるという寸法)。
      ソーシャル攻撃の手段として利用範囲は広いと思うぞ。

      脆弱性というには微妙だとは思うが。

      • by Anonymous Coward

        この世のすべてのOSの「ポップアップ」という概念そのものをすべて否定して回ってきてから出直してきてください
        もちろんMacとかもね

        それでは永久に続く旅にどうぞ出発ください

        • by Anonymous Coward

          ポップアップでボタンを隠したら、その下のボタンは押せないようになっているのが普通のOSの実装だ。

      • by Anonymous Coward

        > フィッシングサイトへの誘導ひとつとっても、ユーザーが特定の操作をしたタイミングで実行することで効果的になるし、

        そのための権限が別途必要
        しかも端末管理者+全面信頼するアシストアプリレベルのかなり重大な権限だよそれ
        そんなもんもらった悪意あるアプリはもっと隠れて他のことを長くひっそりとやる

        > 例えばユーザーに実行されたくないアプリが起動したタイミングで
        > 「アプリのエラーです。再起動してください」という
        > メッセージを表示して利用をやめさせる、なんてこともできるだろう
        > (何度も再起動しても同じメ

    • by Anonymous Coward

      ランサムウェアみたいに操作を不可能にして解除してほしければ・・・とか、
      "他アプリで何がインストールされているか、フロントのアプリは何か、画面表示はどうなっているかなどを詳細に知る必要"は無いと思うけど。
      もちろんAndroidに詳しい人は自力で解除できるだろうけど、そうでない人には割と効果的なのでは?

      • by Anonymous Coward

        > ランサムウェアみたいに操作を不可能にして解除してほしければ・・・とか、
        > "他アプリで何がインストールされているか、フロントのアプリは何か、
        > 画面表示はどうなっているかなどを詳細に知る必要"は無いと思うけど。
        > もちろんAndroidに詳しい人は自力で解除できるだろうけど、そうでない人には割と効果的なのでは?

        そんなもん今回の脆弱性を使わなくてもインテントで勝手に起動するなりサービスから起動させるなりいくらでもできる
        さらに言えば
        何も知らない利用者なんだと前提と置くなら SYSTEM_ALERT_WINDOW 権限だって簡単に渡されるのだから
        なおさらこの脆弱性を使う必要がない

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...