-
ナレッジベース
-
アンチウイルスに関する誤解と噂
The page may not load correctly.
CVE-2017-0752
これは、Android OSのオーバーレイサブシステム(他のオブジェクトの上に表示できるウィンドウ)の脆弱性であり、攻撃者がオペレーティングシステムのインターフェイスやアプリケーションの他の要素の上に表示される画面フォームを作成できるようになります。Android バージョン 4.3 ~ 8.0を搭載するすべてのデバイスが影響を受けます。通常の状況では、アプリケーションは他のウィンドウ上にビジュアルフォームを作成するために適切なOS権限をリクエストする必要がありますが、 ToastOverlay の脆弱性により、追加のリクエストなしでこれを行うことができます。攻撃者は ToastOverlay を悪用して、画面にフィッシングウィンドウを表示したり、デバイスの正常な動作をブロックしたり、ユーザーを騙して悪意のあるアプリケーションに管理者権限を付与させたり、その他の潜在的に危険なアクションを実行したりすることができます。
Dr.Web Anti-Virus for Androidがこの脆弱性を検出した場合は、デバイスの製造元に問い合わせて、オペレーティングシステムのアップデートを入手することが推奨されます。
ToastOverlay の脆弱性により、この脆弱性を利用するアプリケーションが Google Play からインストールされず、 BIND_ACCESSIBILITY_SERVICE という1つだけの許可が宣言されている場合でも、インターフェイス要素の上に画面フォームを作成できます。 TYPE_TOAST ウィンドウは、Androidにて他のウィンドウの上に短いメッセージを表示するために用いられ、標準タイプのオーバーレイの1つです。しかし、 ToastOverlay の脆弱性により、通常はオペレーティングシステムによる送信と処理を必要とする SYSTEM_ALERT_WINDOW のリクエストを行わずに、 TYPE_TOAST ウィンドウを他のインターフェイス要素の上に表示できます。こうして、攻撃者は追加の権限を持たずに脆弱なデバイスの画面上に TYPE_TOAST ウィンドウを表示し、画面のクリックを監視することができます。この脆弱性は、 Android AOSP コンポーネントの権限チェックが欠如していることが原因で発生します。通常、画面フォームを他のインタフェース要素に重ねて表示する場合、パーミッションチェック(permission check)および動作チェック(operation check)が行われますが、 TYPE_TOAST 型のウィンドウの場合には前述のチェックは実施されず、リクエストは自動的に処理されます。これにより、脆弱性を悪用しているアプリケーションは TYPE_TOAST ウィンドウを完全に制御できるようになります。アクセス権の正しいチェックは Android 8.0 でのみ実装されました。Android バージョン 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 および 7.1.2 が、この脆弱性の影響を受けます。