スマホ関連の海外ニュースです。
一方、私たちの多くは、Nexus デバイスのための新しくリリースされた Android ヌガーに触手を伸ばし、大多数のユーザーは Android のマシュマロに残っています。存在は、時から記録されている悪用 2015 年の少なくとも中間はまだ多くの近代的な Android のデバイスに影響を及ぼしています。 悪意のあるアプリケーションが tapjack にできるアクションを明示的に付与するアクセス許可を付与します。ここでは、悪用のしくみです。 Instagram を開くし、あなたが休暇中だった間に最近撮影した写真を共有しようことを想像してください。画像のギャラリーを参照するを選択すると、Instagram は、ストレージにアクセスする権限を付与することを要求します。しかし、エラー メッセージで満たされているときに「はい」をタップします。 有効になっているアクティブな画面オーバーレイがある-このケースでは、あなたのスクリーンを着色する多くのアプリケーションの 1 つ、電話を使用できます夜自分を盲検化せず Instagram 用ストレージのアクセス許可を付与することがあります。これは目的どおり動作アンドロイド権限システムの場合: アプリケーションの機密性の高いアクセス許可を与える、するためにあなたのデバイスにある場合、画面オーバーレイを無効にする必要が。 あなたの画面上に描画する機能を持つアプリケーションは、機密性の高いデータを送信にあなたを騙そう可能性があります潜在的。例えば、画面オーバーレイは、あなたのパスワードを収集するために本物のログイン画面上に偽のパスワード入力を置くことができます。このような悪用は ‘tapjacking’ と呼ばれる、ポップあり、アンドロイド 4.0.3 まで続く最悪の例の一つで何世紀にもわたって、様々 な Android バージョンのパッチが適用されています。しかし最近、悪用した Android のマシュマロの実行時のアクセス許可モデルが返されない。 硫黄 Banaś の名前によって開発者は、脆弱性を示すアプリケーションを作成しました。それが働く方法は、悪意のあるアプリケーションをインストールする許可を求めるダイアログが表示されますアプリケーション表示それが望んでいるものは何でもアクセス許可ダイアログのテキストをカバーするシステムのオーバーレイを使用して、かなり単純な – です。ダイアログ ボックスに「許可」をクリックすると無意識のユーザー要求が隠れていたが、– が求められたアクセス許可は、ユーザーの視点を付与にだまされます。新しいモデルの導入が彼らは明示的に同意したアクセス許可のみをユーザーになることを確認することになっていたので、このような悪用は全く Android のマシュマロの許可制度の目的を破ります。 今、私はあなたが考えているものを知っています。システムのオーバーレイし、Instagram ストレージのアクセス許可を付与するから私を妨げてにアンドロイドが検出された場合、それは起きてから、攻撃を回避はないですか。答えは、いいえ、それは、テキストを表示する特定のデバイスのアクセス許可ダイアログ上にオーバーレイをトリガーしません安全機構が表示されます私のテストで。概念実証 tapjacking アプリケーションの開発者は、それはターゲット API レベル 22 の上下 (前マシュマロ) セカンダリ悪意のあるアプリケーションをインストールするユーザーに依存するため、脆弱性が有効であることを述べています。これは、Android のマシュマロの前にすべてのアプリケーション、アクセス許可のインストール中にためにです。 さて、マシュマロのすべてを行う必要がありますしている場合は任意のアプリのインストールを避けるため、右、オーバーレイを描画するためのアクセス許可を要求する信頼できないですか。アプリのアクセス許可モデルとして働いていた場合もともと広げて、あなたは正しいでしょう。しかし、このエクスプロイトの発見以来でも、アプリ API レベル 23 (マシュマロ) をターゲット オーバーレイ アクセス許可の要求が潜在的なリスク。 あなたの友人とチャット用 Facebook のメッセンジャーを使っている人の多くの何百万の 1 才なら、あなたは Android の最高の機能-その他の画面上に描画するためのアプリのための能力の一つに遭遇しました。あなたのお気に入りの Facebook グループ チャット バブルを持っていることができますそれに従う任意のアプリケーションを開いて彼らの上にユーザーをどのようにクールにですか。Facebook のメッセンジャーは、主流に「フローティング アプリ」アイデアをもたらした、Android でいくつかの時間の概念が存在しています。アプリケーションは、Android のウィンドウ マネージャーで TYPE_SYSTEM_OVERLAY の存在のおかげで、いくつかの時間のためのアプリの上にオーバーレイを作成することができた。 Android のマシュマロ、前にアプリケーションは、画面の上にオーバーレイを表示可能性があります前にインストール中に SYSTEM_ALERT_WINDOW と呼ばれるアクセス許可の要求をする必要があります。しかし、6.0 の導入と変わったこれは粒状の実行時のアクセス許可モデル。怪しい一見機能的関係のないアクセス許可を要求するアプリケーションから自分のプライベート データの保護に平均的なユーザーに拍車をかけるだろううまくいけばアプリを実際に実行するときにアプリケーションへのアクセス許可を付与するユーザーは今でしょう。 しかし SYSTEM_ALERT_WINDOW は他のアクセス許可は、のようなないです。開発者は、プログラムでマシュマロをターゲット アプリに他のほとんどのアクセス許可のようなエンド ・ ユーザーによって許可するを要求するダイアログ ボックスを表示できません。代わりに、手動での設定画面に移動し、自分のアクセス許可を有効にする必要があります。もちろん、Facebook のメッセンジャーなどいくつかのアプリは、プロセスに沿ってあなたを助けるでしょう。 「特に敏感な。」となるパーミッションを判断しているため、Google は開発者のこれを必要とします。 通常、危険なアクセス許可のように動作するアクセス許可があります。SYSTEM_ALERT_WINDOW と WRITE_SETTINGS は、特に敏感であるほとんどのアプリはそれらを使用しないでください。アプリは、これらのアクセス許可のいずれかを必要とする場合は、マニフェストでは、アクセス許可を宣言し、ユーザーの承認を要求する意図を送信それ必要があります。システムは、ユーザーに詳細な管理画面を示すことによって、意図に応答します。 私たちの知る上 tapjacking を考えると、この理にかなって。しかし、ここのことです。Google も、独自の規則に従っていません。上記に示した SYSTEM_ALERT_WINDOW 権限を付与するプロセスを通してあなたを導く Facebook のメッセンジャーのスクリーン ショットですか。グーグル プレイ ストア外から APK をインストールする場合にのみ行われます。グーグル プレイ Store からアプリケーションをインストールすると、SYSTEM_ALERT_WINDOW アクセス許可が自動的に与えられます。 Android のマシュマロの前に長い時間、SYSTEM_ALERT_WINDOW に「危険な」アクセス許可と考えられていた。Android のマシュマロ 6.0 では、アクセス許可は署名に変更されました | システム | 最初は何 appop 必要な許可をする設定画面にユーザーをリードする開発者。しかし、人造人間バージョン 6.0.1、SYSTEM_ALERT_WINDOW が、Google Play でストアが自動的にアクセス許可を与えるユーザーに通知せずに変更されました。なぜこの変更を加えた Google は私たちに明確ではないです。Google 自体いない出てくるし、まだ自分のウェブページ上に存在する SYSTEM_ALERT_WINDOW の言語を考慮した特に奇数でこの変更を行った理由を記載します。 十分な開発者が Google が静かに屈したし、ちょうどそれを要求したアプリケーションに付与アクセス許可を手動で付与する必要がある SYSTEM_ALERT_WINDOW に対する最初の変更で怒られたことが可能です。しかし、そうするには、Google の便宜のため安全を犠牲に。なぜ理由がある Google 自身考えだから長い時間のために危険であること許可。マシュマロ許可 tapjacking 悪用の存在、自動的に任意のアプリケーションにこのアクセス許可を与える場合に固有の危険性の十分な証拠です。 この tapjacking 悪用は何ヶ月も今存在しているがごく最近私達の注意にもたらされています。XDA ポータル チームの間でデバイスの社内テストで悪用がマシュマロの Android を実行している多くの近代的なデバイスで動作することを確認しました。ここでは、我々 はそれぞれのデバイスの最新の利用可能なソフトウェア バージョンと tapjacking 悪用が動作するかどうかのテスト装置ざっと見て。「脆弱性」をマークされているデバイスは、マーク「脆弱性のない」デバイスは、オーバーレイを表示するアプリを検出し、続行する前に無効にすることを要求することができる tapjacking 攻撃を受けやすい。 これまでのところ、あれらはすべてのデバイスをテストするチームを取得することができたのです。セキュリティ パッチのバージョンおよび悪用に相関は見つかりませんでした。Android のセキュリティ更新プログラムに関する当社の最新の議論からわかる、多くの人々 はとにかく、最新のセキュリティ パッチで実行されていないと、おそらくこの脆弱性および他の Android のセキュリティ情報に記載されている脆弱性は、したがって。 脆弱なかどうかを参照してくださいにあなた自身のためのあなたのデバイスにこの脆弱性をテストすることをお勧めします。上記のリンク先のソース コードから APKs をまとめました (やればできる自分も) AndroidFileHost にそれらをアップロードしていると。脆弱性をテストするために、ヘルパー サービスと同様、両方の主要な tapjacking アプリケーションをインストールする必要があります。その後、メイン アプリケーションを実行し、「テスト」ボタンをクリックします。テキスト ボックスに浮かぶ、アクセス許可ダイアログと「許可」をクリックすると上に端末の連絡先の一覧が表示されますし、あなたのデバイスが tapjacking に脆弱性が存在します。心配しないで完全アクセス許可ダイアログを覆うフローティング テキスト ボックスについてこの概念実証のアプリには、きちんとアクセス許可ダイアログをハイジャックするが、確かに可能であることを証明するためにではなく完全にデモンストレーションを行う。 我々 は修正されるすべてのマシュマロ デバイスでこの脆弱性にパッチを当てると、Oem が最新のセキュリティ パッチを適用するすべてのデバイスを更新することを願っています。現実にはヌガーを取得する最も誓約されたデバイスの数ヶ月がかかること、ので害の方法のうち滞在するほとんどのユーザーのための唯一の方法は最新のセキュリティ パッチをインストールするかまたは取るアプリ権限自体を監視します。しかし、危険の SYSTEM_ALERT_WINDOW アクセス権を自動的に許可する Google の決定により、多くのユーザーは無意識に実行するより危険なアクセス許可を付与する自分の携帯電話をハイジャックできる可能性のあるアプリ。
続きを読む…
How Tapjacking Made a Return with Android Marshmallow — and Nobody Noticed
While many of us salivate over the newly released Android Nougat for Nexus devices, the vast majority of users are still on Android Marshmallow. An exploit the existence of which has been documented since at least the middle of 2015 is still affecting many modern Android devices. Malicious applications are able to tapjack your actions into granting them a permission you never explicitly granted. Here is how the exploit works. Imagine that you open up Instagram and try to share a picture you recently took while you were on vacation.
Read more…
