
TapTrapはタップジャッキング攻撃を さらに進めたかたちになっている攻撃手法です。
この攻撃手法は複数のインフラで実施できることがわかっているのですが、全体としてはまだ安全になっていません。
どのような内容なのでしょうか。
- 標的はAndroid
この攻撃手法が実施できるのは、WebブラウザであるChromeやFirefoxやAndroidです。
責任を持った開示により、順次、それぞれのソフトウェアでの対応が進んでいます。
ChromeとFirefoxにおいては、2025年3月にリリースされたそれぞれの更新で対策することができた状態になりました。
しかし、Androidでは、まだ対策が提供されていません。
Androidと互換性のあるGrapheneOSでは2025年7月に対策が提供されましたので、技術的には対策ができることが確認できたともいえそうですが、本家のAndroidではまだ対策はリリースとなっていません。 - 意図せずタップさせる
これが、このTapTrapの作戦です。
従来のタップジャッキング攻撃は、正規のアプリケーションの上に悪意のあるウィンドウを重ねて表示し、ユーザーを欺いて意図しない操作を誘導する方式でした。
この方式は多く悪用されたため、現在では多くのセキュリティ機構がこれを検出し防ぐことができるようになりました。
そこで出てきたのがTapTrapです。
こちらは似てはいますが、別の作戦を選択しました。
画面に透明化したアニメーションを表示し、画面の特定の部分をタップするように誘導します。
そのタップさせる部分に攻撃者の期待する権限を許可するボタンを配置するということを実施することで、ユーザ自身に権限昇格を実現させます。
このため、この攻撃を実施する前のマルウェアは特別な権限が必要ない状態でOKなのです。
一見無害に思える、というわけです。
同じような方法で、権限の取得だけでなく、通知を傍受することによる多要素認証の安全性の崩壊、カメラやマイクや位置情報などのデータへのアクセス、デバイスの初期化、なども実現できるようになります。
この攻撃に対し、Androidはまだ脆弱です。
新たなアプリを手元のAndroidにインストールしようとする際、特別な権限を要求されていないから安全だ、とは言えません。
現時点で利用者の立場で実施できるのは、こういった脅威があるということを踏まえてファイルの入手には気をつけていくということのみかもしれません。
そして、更新を入手できるようになった際には速やかに適用しましょう。
TapTrap: Animation-Driven Tapjacking on Android
https://taptrap.click/
この記事をシェア |
---|
一緒によく読まれている記事
-
サイバー領域
- 【分析レポート公開】ランサムウェアグループREvilへのインタビューから垣間見えたその実態とは
- 2021年4月、テリロジーワークスは世界中で猛威を振るうランサムウェアグループのREvil(別名Sodinokibi)に対するインタビューに成功しました。特に興味深い項目を対象に...
-
サイバー領域
- GitGuardian レポート 「The state of Secrets Sprawl 2023」公開/日本語翻訳版はテリロジーワークスが作成
- GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き...