Android 批評家は、オペレーティング システムがアプリを制御できないことがユーザーのセキュリティに対する脅威であるとよく指摘していますが、これが再び真実であることが証明されています。
セキュリティ企業Leviathan Securityは、システムリソースへのアクセス権限を持たないアプリでも、ユーザーの知らないうちに機密データを閲覧できることを発見しました。さらに悪いことに、悪意のあるアプリがいくつかの追加手順を踏むことで、Webブラウザを使ってデバイスからそのデータを取得できる可能性があります。
Leviathan Securityによると、アプリは権限に関わらず、少なくとも3種類の情報にアクセスできるとのことです。これらの情報には、外部ストレージ上のファイル、個々のアプリによって保存されたファイル、そしてデバイス情報が含まれます。
Androidでは、デフォルトですべてのアプリが外部ストレージ上のすべてのファイルを読み取ることができます。一見無害に思えるかもしれませんが、Leviathanの研究者であるPaul Brodeur氏は、一部のアプリがネットワークアクセス情報などの機密データをデバイスのSDカードに保存していることを発見しました。
アプリはデバイスにインストールされているアプリケーションのリストを取得し、そこからそれらのアプリに関連するファイルをスキャンすることもできます。iOS開発者は最近、データのセキュリティ確保に失敗したとして非難を浴びています。Facebook、Dropboxなどのサービスが認証情報をプレーンテキストで保存していたことが発覚したのです。同様にセキュリティが不十分なAndroidアプリも数多く存在すると考えられます。
最終的に、ブロデュール氏は、すべてのアプリが基本的なデバイス情報にアクセスできることを発見しました。アプリは適切な権限がなければデバイスの固有識別番号を読み取ることはできませんが、その他の識別情報には簡単にアクセスできます。
アプリケーションが適切な権限を持っていない限り、ネットワークアクセスは制限されるため、デバイスからデータを取得するのは容易ではありません。それでも、攻撃者が密かにデータを盗む方法は存在します。
「私のテストでは、アプリはフォーカスを失った後でもブラウザを起動でき、ブラウザ呼び出しを連続して行うことで大量のデータを送信できることが分かりました」とブロデュール氏は記している。簡単に言えば、ブラウザを開いて文字列を送信するというリクエストは完全にバックグラウンドで実行されるため、被害者はそれが行われていることさえ気付かない。
さらなる技術ニュースや解説については、Twitter @edoswald、Facebook、または Google+ で Ed をフォローしてください。
