高性能の Android スマートフォンでも、画面の間違った部分をタップすると、あなたとあなたのデバイスがハッカーに対して完全に無防備になる可能性があります。
ウィーン工科大学とバイロイト大学のセキュリティ研究者チームが、新たなTapTrap攻撃手法を詳述した論文を発表しました。驚くべきことに、この手法はAndroidの権限システムを回避して機密情報にアクセスし、ユーザーを欺いて悪意のあるアクションを実行するボタンをクリックさせることが可能です。
Bleeping Computer の報告によると、TapTrap のアニメーションは、ユーザーが開発者オプションまたはアクセシビリティ設定で無効にしない限り有効になります。
TapTrap攻撃は、目に見えないUIトリックを利用したタップジャッキング手法です。オペレーティングシステムがカスタムアニメーションを使用してアクティビティ遷移を処理する方法を変更することで、ユーザーが画面上で見ているものとデバイスが認識する内容に乖離が生じます。
基本的に、TapTrap は無害なアプリの上にアニメーションを重ねます。つまり、正規の定期的に機能するアクションの上に目に見えない悪意のある画像を起動するのです。
ユーザーは、通常のアプリを操作していると思い込んでいるため、リスクのある操作に対応する画面上の「許可」や「承認」ボタンをタップしてしまう可能性があります。これらのボタンは、目に見えないプロンプトに重ねて表示されるためです。これにより、ユーザーが誤ってデバイスを消去してしまう可能性もあり、さらに悪いことに、ゼロパーミッションアプリでも動作します。
研究者たちは、この手法の開発中にAndroid 15のアニメーションを使用し、その後Android 16でもテストを実施しました。これにより、TapTrapがGoogleの最新バージョンのOSの両方で実行できることが確認されました。また、Google Playストアにある約10万種類のアプリを調査し、これらのアプリでもこの攻撃が機能するかどうかを確認しました。
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
そのうち 76% は基準 (別のアプリによって起動できる画面、同じタスクで実行されている画面、遷移アニメーションを上書きしない画面、入力に反応する前にアニメーションの終了を待たない画面など) に一致したため、TapTrap に対して脆弱であることが判明しました。
幸いなことに、TapTrap はハッカーではなくセキュリティ研究者によって作成されたため、危険なマルウェアのように警戒する必要がある差し迫った脅威ではありません。
それでも、これは、野心的なハッカーが Android の権限システムを回避し、何も知らないユーザーを騙して自分のデバイスを危険にさらしたり、うっかりサイバー犯罪者にデータへのアクセスを与えたりする可能性があることを示しています。
Tom's Guideのその他の記事
- プライムデーのおすすめアンチウイルスソフト:オンラインの安全を守る、大幅割引のセキュリティスイート7選
- 悪質なChromeのインストールで約200万人が被害に遭う ― 今すべきこと
- この危険なバンキング型トロイの木馬は、悪意のある活動を隠蔽するために定期メンテナンスを利用しています。騙されないでください。
アンバー・ブーマンは、Tom's Guideのシニアセキュリティエディターとして、ウイルス対策ソフトウェア、ホームセキュリティ、個人情報窃盗などについて執筆しています。彼女は長年、オンラインとオフラインの両方における個人のセキュリティに関心を持ち、格闘技と刃物にも造詣が深いです。20年以上にわたるテクノロジージャーナリズムの経験を持つアンバーは、PC World、Maximum PC、Tech Hive、Engadgetなど、スマートフォンからスマート搾乳器まで、あらゆるトピックを網羅した記事を執筆しています。
