オックスフォード大学の研究者たちは、Android の広告 (そしておそらくマルウェア) における次の新たな傾向を発見したと考えている。それは、共通ライブラリを使用して、異なる権限レベルのアプリ間で「共謀」するというものだ。
ライブラリは攻撃者がターゲットとする一般的なベクトルですが、3 人の専門家 (Vincent Taylor、Alastair Beresford、Ivan Martinovic) は、ほとんどの調査ではアプリを個別に調べていると指摘しています。
そこで彼らは別のアプローチを採用し、2 つの異なるアプリ内の同じライブラリが、権限の高いアプリから権限の低いアプリに情報を公開する可能性があることを調査しました。
この「ライブラリ内共謀」(ILC)は、「個々のライブラリが複数のアプリに埋め込まれ、各アプリに異なる権限セットが付与されていることにより、デバイス上でより大きな統合権限を取得するときに発生する」と研究者らは述べている。
論文で説明されているように、共有ライブラリはアプリが持っていない権限を借用することができます。クリックして拡大
これは脅威です。異なるアプリ間でのライブラリの再利用はバグではなく機能であるためです。デバイスにプリロードされたコードを使用できるため、アプリ開発が効率化され、アプリのサイズが小さくなります。
研究者らは、攻撃者が独自のライブラリを標準化していることに注目しながらも、広告ライブラリに注力した。なぜなら、広告ライブラリはスマートフォン アプリの世界ではほとんど遍在しており、すでに機密性の高い個人データを収集、集約しているからである。
彼らの研究は、位置情報、アプリの使用状況、デバイス情報、通話履歴やメッセージなどの通信データ、ストレージへのアクセス(たとえば、ユーザーの興味を示す可能性のあるファイルを含む)、マイクなどを扱うライブラリに焦点を当てていました。
研究者たちは、ダウンロード数が100万回を超える15,000本以上のアプリをデコンパイルし、リンク先のライブラリを特定しました。デコンパイルに成功したアプリについては、ライブラリ内共謀の可能性について分析を行いました。
最も人気のある 18 のライブラリには、よく知られた名前が含まれています。
| 図書館 | アプリの割合 |
|---|---|
| フェイスブック | 11.9 |
| com/google/android/gms/アナリティクス | 9.8 |
| com/flurry | 6.3 |
| com/chartboost/sdk | 5.9 |
| com/unity3d | 5.2 |
| com/applovin | 3.5 |
| com/mopub | 3.1 |
| com/inmobi | 3.0 |
| com/google/ads | 3.0 |
| com/google/android/gcm | 2.7 |
| com/tapjoy | 2.4 |
| org/cocos2d | 2.4 |
| com/amazon | 2.0 |
| com/millennialmedia | 1.6 |
| org/apache/commons | 1.4 |
| ヘイザップ | 1.4 |
| com/nostra13/universalimageloader | 1.3 |
| com/adobe/air | 1.0 |
「ILC の発生を許す主なきっかけは、Android の権限システムがライブラリとそのホスト アプリの権限を分離できないことだ」と研究者らは記しており、少なくともこれは不正な広告ネットワークに、ユーザーから追加の権限を求めることなくデータ収集を改善する機会を与えている。
このようなシナリオでは、アプリ開発者は「利益に悪影響を与える可能性がある」ため、ライブラリ権限の分離をサポートしない強いインセンティブがあると指摘しています。
広告主ライブラリの挙動を詳しく調査したところ、平均してこれらのライブラリは「デバイスから1日に最大2.4回機密データを漏洩し、平均的なユーザーの個人データは1日に1.7台の異なる広告サーバーに送信されている」ことがわかりました。
この論文は広告主がILCをどのように悪用するかに焦点を当てていますが、特にジェイルブレイクまたはルート化されたスマートフォンにおいては、ILCが攻撃ベクトルとなることは明らかです。過去の調査では、Playストアのアプリの最大7%に悪意のある可能性のあるライブラリが含まれているという証拠が既に存在しており、「攻撃者はマルウェア拡散の手段としてライブラリに注目し始めている」ことが示唆されています。®
