Androidの「Toast」機能使用したオーバーレイ攻撃

headless曰く、　Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性（CVE-2017-0752）についてPalo Alto Networksが解説している（Palo Alto Networksのブログ、Threatpost、V3、Register）。

　オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示（SYSTEM_ALERT_WINDOW）」のアクセス権限が必要だった。

　新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではToastを全画面表示し、オーバーレイウィンドウと同様に使用できることを確認したとのこと。

　この脆弱性はAndroid 8.0を除くすべてのバージョンのAndroidが影響を受け、9月のセキュリティパッチで修正されている。なお、この脆弱性を狙った攻撃は現在のところ確認されていないとのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | Android

　関連ストーリー：
Google、SMBv1にのみ対応するAndroid用Sambaクライアントを公開 2017年07月12日
Tizenには多くのセキュリティ問題があるという指摘 2017年04月11日
Android向けVPNアプリの大半は信用できない 2017年02月01日
AndroidのQualcommチップセット向けドライバに脆弱性、多数のAndroid端末に影響 2016年08月10日