Android を完全に安全なオペレーティング システムにするための闘いは長くて厳しいものです。Google は起こり得るあらゆる問題を解決するために全力を尽くしていますが、攻撃者は自分たちの利益のためにスマートフォンに侵入する新しい方法を探しています。幸いなことに、マウンテンビューの人々には、潜在的な脆弱性を探す企業などの強力な協力者がいます。
通常、Google はこれらの問題を比較的迅速に解決しますが、今回の場合、 Android デバイス ユーザーのほぼ 40% がもう少し長い間危険にさらされる可能性があります。この新しい脆弱性は、攻撃者がそれを悪用しようとする場合、多大な損害を与える可能性があり、端末の画面を「ハイジャック」する可能性があります。
この欠陥は、 Check Point の研究者によって初めて発見されたもので、バージョン 6.0 Marshmallow 以降のデバイスのユーザーに影響を与えるAndroid 権限の欠陥で構成されています。これは、5 月 2 日の Google データによると、端末の 38.3% が危険にさらされていることを意味します。
具体的には、Google が Android 6.0 Marshmallow で初めて実装した「SYSTEM_ALERT_WINDOW」権限で、Facebook Messenger やそのチャット バブルなど、画面上に要素を配置できるようにすることを要求するアプリケーションに付与されます。当初、この権限は自動的には付与されませんでしたが、ほとんどのユーザーはこれらの機能を使用するために権限を付与する方法を知りませんでした。
Google は、最も人気のあるアプリケーションの開発者からの苦情に応え、アプリのインストール後にユーザーが許可を与えるという要件を削除することを決定しました。これを実現するために、 Mountain View は Android 6.0.1 に一時パッチを適用し、Google Play が実行時に権限を付与できるようにし、許可が自動的に付与されるようにしました。
問題は、これは誠実な開発者にとっては安心であったものの、攻撃者が勝手に行動できるようになったということです。この許可により、悪意のある者がユーザーの画面を乗っ取り、「フィッシング」攻撃を実行したり、ユーザー インターフェイスに損害を与えたりする可能性があります。
Google は Android O の登場に合わせてこの問題を修正すると発表しましたが、修正が行われるのは夏の終わりか秋の初めになるため、依然として数か月間は悪意のある攻撃にさらされることになります。それまでは、信頼できるアプリのみをダウンロードすることが最善です。
経由 | Engadget Android のTechradar | Android Nougat はすでに 7% 以上のデバイスに搭載されているが、Gingerbread はわずかな回復で驚き