公開日 2019年12月26日 最終更新日 2021年9月18日
こんにちは英雄太郎です!
Androidに激ヤバな脆弱性が発見されました。
Androidユーザーの方は特に要チェック!
【ヤバイ】Android全バージョンに深刻な脆弱性
ストランドホッグ(StrandHogg)と呼ばれるAndroidの脆弱性が発見されました。
簡単に言うと、「自分では全く気付かないうちに、ハッカーに自らの個人情報を送ってしまう」という大変危険なものです。
この脆弱性を発見したノルウェーのセキュリティ企業プロモンでは、上位人気500のアプリでこの脆弱性が確認され、さらに36の悪意あるアプリを特定したとのこと。
影響を受けているAndroidバージョンは最新のAndroid10を含む全バージョン。
しかもこのストランドホッグ、素人には絶対に見破れない構造をしています。
正規アプリになりすまして情報を盗む
このストランドホッグを利用するとどんなことができるのでしょうか。
下の画像はその説明です。
ユーザーはいつも使っているアプリのアイコンをタップします。上記ではSMSのアプリです。
通常はそのまますぐにアプリが立ち上がり、メッセージを読んだり送ったりできるはずなのですが・・
ストランドホッグを利用しているアプリだった場合、
「SMSの送受信を許可しますか?」というポップアップが表示されます。
Androidユーザーなら必ず目にしたことがあるこのポップアップ。
何も考えずに「許可」を押してしまいませんか・・?
その瞬間、SMSアプリはハッカーに乗っ取られ、送受信履歴は全て筒抜けになります。
ただし、アプリはその後何もなかったかのように動き続けるので、ユーザーは悪用されていることに気づくことができません。
そして、FacebookやTwitterなどのSNSやネットバンク、仮想通貨アプリなどになりすまし、
IDとPasswordを要求する画面を表示します。
その要求画面は偽物ですが、本物と全く区別がつかないように作られているため、気づくことは難しいです。
そのままその画面へIDとPasswordを入力してしまったら・・
あなたのログイン情報は完全にハッカーのものになってしまいます。
ハッカーに悪用されるもの
この脆弱性を利用すれば、ハッカーは以下のことが可能になります。
- マイクを介してユーザーに案内できます
- カメラで写真を撮る
- SMSメッセージの読み取りと送信
- 電話での会話の作成および/または録音
- フィッシングログイン資格情報
- デバイス上のすべてのプライベート写真とファイルへのアクセスを取得します
- 位置情報とGPS情報を取得する
- 連絡先リストにアクセスする
- 電話のログにアクセスする
つまり、スマートフォンを丸ごと乗っ取ることが可能だということです。
対策するためには
まずはきちんとしたセキュリティアプリを利用しましょう。
無料で利用できるセキュリティアプリは逆に危険です。絶対に使わないでください。
ウイルスバスターやマカフィーなど、有名な会社のものを利用するようにしましょう。
【ウイルスバスタークラウド】
私はウイルスバスターをオススメしています!
これらのアプリは不正なマルウェアを感知し、ユーザーに知らせてくれます。
ただ、今回見つかった脆弱性はセキュリティアプリでも対処しきれない場合があるそうです。
そのため、ポップアップが出てきたときは安易に「許可」しないこと。
おかしいな、と思ったら一旦アプリを削除することが対策として挙げられます。
この件に関しては日本であまりニュースになっていませんが、いずれ大きな問題に発展する可能性が高いと考えられます。
あなたのスマホは大丈夫ですか?
今のところ明確な対策があまりないのですが、新しい情報がわかり次第更新します。