ガジェット通信 GetNews

見たことのないものを見に行こう

Androidの画面を勝手にキャプチャーされてしまう深刻な脆弱性が発見される

DATE:
  • ガジェット通信 GetNewsを≫
セキュリティ専門企業の MWR Labs は、今使われている Android デバイスのおよそ 77.5% に個人情報の漏えいに繋がる MediaProjection サービスの深刻な脆弱性を発見したとして報告しています。Android 5.0 Lollipop の Android Framework に導入された MediaProjection サービスは、Android の画面に表示される内容をキャプチャーしたり、システムオーディオを録音することに使用されています。スクリーンレコーダー系のアプリが Android の画面を録画する際には、SystemUI の警告ポップアップが表示されるので、ユーザーは許可を付与すれば画面を録画できます。MWR Labs は偽の SystemUI ポップアップをタイミング良く表示することで MediaProjection サービスをハイジャックできることを突き止めました。アプリによる SystemUI ポップアップが出るタイミングを見計らって、偽の SystemUI ポップアップを表示させることで、あたかもそれが意図したアプリからのポップアップだと認識し、疑いもなく許可を与えてしまう結果、攻撃者は Android の画面や音声に含まれる個人情報を外部に漏らすことができるというのです。MediaProjection サービスのような機能は Android の初期から存在していますが、KitKat までこのサービスを利用するにはアプリに root 権限が必要でした。そのため、root 化された端末や端末メーカーのシステムアプリしかこれを許可できなかったのでこのような問題は起きませんでしたが、Android Lollipop のリリースと共に一般のアプリでも使用できるようになり、Lollipop 以上の OS バージョンは影響を受けることになります。Android Oreo はセキュリティパッチによって既にこの問題は修正されていますが、Lollipop、Marshmallow、Nougat には依然として残ったままとされています。現時点でこれらの OS バージョンのシェアを足すと 77.5% になるので、影響は広範に及ぶと見られています。Source : MWR Labs

■関連記事
「Moto X5」の噂が浮上
ドワンゴ、niconicoの新バージョン「niconico(く)」を2月28日に開始、nicocas(ニコキャス)で生放送がもっと楽しくなる
Huawei、コスパの良いハイスペックモデル「Honor V10」を中国で発表

カテゴリー : デジタル・IT タグ :
juggly.cnの記事一覧をみる ▶
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。