モバイルデバイス上のパスワードマネージャーは、偽のアプリに騙されてユーザーのパスワードを渡してしまう可能性があります。
これはジェノバ大学とEURECOMの研究者による論文[PDF]によるもので、Android Instant Apps機能は、他のアプリケーション用のパスワードマネージャーに保存された認証情報を要求し、受け取ることができるように設計されていることがわかった。
アイデアとしては、Instant Apps は、リモートでホストされたコードを実行することで、Android アプリを完全にダウンロードせずに一部だけ試用できるようにする機能ですが、ユーザーやパスワード マネージャーによって完全にインストールされたアプリと適切に区別されないという点が挙げられます。
研究者らによると、多くの一般的な Android パスワード マネージャーも、偽装されたパッケージ名やメタデータ エントリに騙されやすく、偽装されたアプリが本物であると結論付けてしまう傾向があるという。
「これは、Instant App のパッケージ名が攻撃者によって制御されており、追加のアプリをインストールしなくても、パスワードマネージャーを騙して攻撃者が選択したウェブサイトの認証情報を自動入力することが可能になることを意味します」と研究者らは説明している。
「これにより、攻撃者は被害者を悪意のあるウェブページに誘導し、エンドツーエンドのフィッシング攻撃を開始できます。このようなウェブページには、たとえば偽の Facebook 関連機能が含まれている可能性があります。」
この論文では、攻撃者がユーザーを類似のページ、あるいは偽の「いいね」ボタンに誘導し、攻撃者のサーバーに接続された類似の「インスタント アプリ」パッケージを開くことをユーザーに承認させるという攻撃シナリオが描かれている。
マイクロソフトがパスワードを「廃止」、脅威管理ツールとAPIグラフセキュリティを発表
続きを読む
そこから、悪意のあるインスタントアプリは正当なアプリ(Facebookなど)を装い、パスワードマネージャーにログイン認証情報の提示を要求します。ユーザーもパスワードマネージャーも、騙されたことに気付くことはありません。
「この攻撃戦略は、ウェブやモバイルデバイス上の既知のフィッシング攻撃のハードルを著しく下げるものだと考えています。私たちの知る限り、悪意のあるアプリがすでに携帯電話にインストールされていることを前提とせず、ユーザーに認証情報の入力さえ求めない攻撃はこれが初めてです」と研究者らは述べている。
「これらの攻撃は、現在知られているすべてのモバイルフィッシング攻撃よりもはるかに実用的です。」
結局のところ、研究者らは、この問題の解決策はパスワードマネージャの動作を変えることではなく、認証情報を要求するアプリが本当に本人であるかどうかを確認するための、パスワードツール用のより信頼性が高く安全な方法をGoogleが開発することだと述べている。
「主要な設計上の問題は、これらすべてのメカニズムがパッケージ名を主な抽象化として使用しているため、パスワードマネージャーの開発者がアプリを関連するドメイン名にマッピングするという困難な作業を抱えている点です」と論文には記されている。
「主要なパスワードマネージャーで確認されたセキュリティ上の問題や誤った信頼の前提の数を考慮すると、サードパーティの開発者にこの重要なステップの実装を依頼すべきではないと考えています。」®
