ニュース
LINEのメッセージを窃取する遠隔監視アプリ、日本で市販中、米Lookoutが問題視
Androidの「画面読み上げ機能」を悪用してサンドボックス回避
(2015/7/2 17:14)
日本で市販されているAndroid端末の遠隔監視アプリについて、今後大きなセキュリティリスクをもたらす可能性のある“モバイル遠隔操作型トロイの木馬(mRAT)”だとして、セキュリティベンダーの米Lookoutが問題点を指摘している。
Lookoutが「AndroRATIntern」と呼んでいるこのアプリは、mRATのツールキットである「AndroRAT」を使用して開発されたものだが、Android OSのユーザー補助機能を「これまでにない手法」で悪用することで、LINEのメッセージを窃取する新機能なども実装しているという。
ユーザー補助機能とは、目の不自由なユーザーのためにテキスト読み上げ機能を有効化する際などに使用されるAndroid OSの正規機能だ。
Lookoutによれば、Androidでは通常、明示的なユーザーパーミッションがなければ、アプリによる他アプリからのデータ取り出しはアプリケーションサンドボックスによって阻止されるという。しかし、AndroRATInternでは、ユーザー補助機能を悪用することで、端末に表示されているLINEのメッセージを読み取るのだとしている。
従って、ユーザー補助機能でアクセスできるのは、その時点で端末に表示されているデータのみであり、LINEを使用していない時のメッセージ読み取りや、アーカイブ化したメッセージ(ユーザーがメッセージを開いた場合を除く)にアクセスすることは不可能だという。
また、この攻撃手法はどのアプリの場合でも有効であったと思われるとLookoutでは説明。LINEアプリに脆弱性があるわけでも、データに不正アクセスされるような欠陥があるわけでもないと補足している。
なお、AndroRATInternは、Android端末をUSBデバッグモードにして直接インストールするアプリのため、Lookoutでは、その脅威がドライブバイダウンロード攻撃などで広範囲に発生することはないとみている。
一方、AndroRATInternの製品紹介サイトでは、このアプリの目的として、端末の盗難・紛失対策、子供などの防犯対策、従業員の勤怠チェック、LINEいじめ対策などを挙げており、端末使用者の合意の下でインストールするよう警告している。
しかしLookoutでは、AndroRATInternはインストール後、ホーム画面にアイコンが表示されず、遠隔コマンドを受信するまでバックグラウンドで待機することから、端末使用者の同意を得ずに使用されることを想定しているものと思われると指摘している。