この脆弱性は、「神モード」でパスワードが盗まれ、アプリケーションがインストールされる可能性があります。

ジョージア工科大学とカリフォルニア大学サンタバーバラ校の研究者は、Android OSのすべてのバージョンに影響がある深刻な脆弱性（Android最新バージョン、ヌガー7.1.2を含む）を発見しました。

問題はマントと短剣と呼ばれています。この脆弱性が悪用されると、攻撃者はの2つの権限を要求する悪質なアプリケーションが作成され、デバイスに保存された情報を盗むことができます。アプリケーションは、BIND ACCESSIBILITY SERVICE (“a11y”) と SYSTEM ALERT WINDOWBINDへのアクセス権を得るのに十分で、キーボード押下の記録やパスワードなどの機密データを盗むことができるようになります。

もちろん、アクセスを要求し、ユーザーを強制的にマルウェアをインストールさせることはそう簡単ではありませんが、熟練したサイバー犯罪者の多くは、独創的な技術を備えています。被害者は、前述のアプリケーション承認を行った後、攻撃者はいつの間にか、情報を盗むために悪意のあるソフトウェアをダウンロードし、デバイスの制御を取得することができまる様になります。研究者によると、脆弱性はパスワードやPIN-コード盗難から始まり、、「神モード」で動作しているアプリケーションの気づかないうちにインストールするに至るまで、深刻な攻撃のすべての実行を可能にし、被害者はそれに気づきません。

Googleは、脆弱性の報告を受けた後直ぐに、そのモバイルオペレーティングシステムのセキュリティを向上させるための適切な措置をとっています。「我々は、これらのアプリケーションのインストールを検出し、防ぐためのGoogle Play Protect（Google Playの上のすべてのAndroidデバイスへの当社のセキュリティサービス）更新しました」と報告しました。

マントと短剣の脆弱性のためのパッチは、Androidの次のアップデートリリーススケジュールでリリースされます。しかし、リリース更新とエンドユーザーがパッチを取得する間の時間を考慮すると、脆弱性は深刻なセキュリティ上の脅威となります。

以下の公開動画で脆弱性の悪用についての詳細を確認してください。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida