スライド 1

Similar documents
スライド 1

スライド 1

スライド 1

Microsoft Word - 【掲載用】True Keyマニュアル_1.0版_ r2.docx

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

目次 1. AOS ユーザー登録サイト AOS ユーザー登録 AOS ライセンスキー登録 ios 版アプリ インストール 起動と新規登録 初期設定とバックアップ Andro

2 ログイン ( パソコン版画面 ) Web サイトのログイン画面が表示されます 通知メールに記載されている ID と仮パスワードを入力して ログイン ボタンをクリックしてください ID パスワードを連続して 5 回間違うと 当 I D はロックアウト ( 一時的に使用不可 ) されるので ご注意く

目次 1 はじめに アンインストール前の注意点 Sophos アンインストール手順 アンインストーラの場所を確認する アンインストーラの実行 F-Secure Client Security for Mac インストー

目次 1.1. AOS ユーザー登録 AOS ライセンスキー登録 ios 版アプリ インストール 起動と新規登録 初期設定とバックアップ Android 版アプリ インストール...

WEBシステムのセキュリティ技術

目次 目次 2 著作権 3 免責事項 3 更新履歴 4 文書情報 4 1. はじめに 5 2. SpyEye の概要 動作概要 システムへのインストール 感染活動 他プロセスへの影響 SpyEye 隠ぺいルーチン H

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

aaaa

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

マカフィー R セキュリティサービス (Android 版 ) インストール 基本操作 アンインストールマニュアル McAfee と McAfee のロゴは 米国およびその他の国における McAfee LLC の商標です 中部ケーブルネットワーク株式会社 第 2.5 版 2019/02/25

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

Microsoft PowerPoint - Skype for business の概要.pptx

Microsoft Word - otp

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

モバイル統合アプリケーション 障害切り分け手順書

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

Notesアプリが iPadで動くDomino Mobile Apps ご紹介

マルウェアレポート 2017年9月度版

Web会議システム IC3(アイシーキューブ)│FAQ│IC3:キヤノンITソリューションズ株式会社

目次 管理 PCの設定パソコンURLにアクセスする 3 グループ設定をする 4 ステータス設定をする 5 端末の設定提供元不明のアプリにチェックを れる 7 位置情報サービスをオンにする 7 提供元不明のアプリにチェックを れる (OS8.0 以降 ) 8 9 位置情報サービスをオンにする (OS8

Microsoft Word - Gmail-mailsoft設定2016_ docx

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

Web会議システム IC3(アイシーキューブ)│FAQ│IC3:キヤノンITソリューションズ株式会社

○○○信用金庫

困ったときは001(他のパソコンに変更する場合)

クライアント証明書導入手順書

<4D F736F F D D815B A982E782CC E E646F6378>

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

< 目次 > 1. このアプリについて [P3] 2. アプリのインストール方法 [P3~] 2-1. Android 版アプリケーション 2-2. Web 版アプリケーション 3. アプリの流れについて [P4~] 4. 各クライアントアプリの操作方法 [P9~] 4-1. Android 版アプ

ヘルスアップWeb 簡単操作ガイド

f-secure 2006 インストールガイド

3 メニュー選択後 Web ブラウザ画面にセキュリティ証明の証明書エラー画面が表示された場合は このサイトの閲覧を続行する ( 推奨されません ) をクリックします このサイトの閲覧を続行する ( 推奨されません ) をクリック セキュリティ証明の証明書エラー画面 4 Web ブラウザ画面に URL

どこでもキャビネットVer1.3 ご紹介資料

f-secure 2006 インストールガイド

MotionBoard Ver. 5.6 パッチ適用手順書

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

マカフィー® セキュリティサービス(Android版)

1 ワンタイムパスワードの説明... 2 (1) ワンタイムパスワードのサービス概要... 2 (2) 個人インターネットバンキングとワンタイムパスワード... 2 (3) ワンタイムパスワード生成機 ( トークン ) について... 2 (4) ソフトウェアトークンの特徴 導入までの

Microsoft Word - バーチャルクラス(Blackboard)ログイン方法ガイド.docx

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

desknet's NEO スマートフォン版 セキュアブラウザについて セキュアブラウザは デスクネッツを自宅や外出先などから安全に利用するためのツール ( アプリ ) です セキュアブラウザというアプリを使用してデスクネッツを利用します 通常のブラウザアクセスと同じようにデスクネッツをご利用頂けま

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

福岡大学ネットワーク認証・検疫システム実施マニュアル

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

SlinkPass ユーザマニュアル

Kaspersky Security 10 for Mobile SP3 製品紹介資料 (Android & ios) Ver /4/13 株式会社カスペルスキー コーポレートビジネス本部

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

f-secure 2006 インストールガイド

PowerPoint プレゼンテーション

Remote Link 3 について Remote Link 3 とは? 外出先のモバイル機器からインターネットを介して NAS に保存してあるデータを見ることができる機能です アプリ Remote Link Files を利用すると スマートフォン / タブレット / パソコンから NAS に保存

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

スライド 1

PowerPoint プレゼンテーション

MP:eMeeting インストールマニュアル Version /06/30 株式会社デジタル ウント メア

f-secure 2006 インストールガイド

KSforWindowsServerのご紹介

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

DocuWorks Mobile 障害切り分け手順書

クライアント証明書導入マニュアル

Google クラウドプリント対応プリンターの登録 ~ テストプリントまで メール : 装置名 :OKI-MC56- Google クラウドプリントへの登録が完了しました [OK] この画面を閉じます Ver (014/04/0) 印刷する人は Google

セキュアコーディングガイド最新版の紹介 JSSEC セキュアコーディングワーキンググループ

1. 事前準備 ひかりワンチーム SP は インターネットにアクセスして利用するサービスです ご利用いただくには インターネット接続環境及びインターネットに接続可能な端末 (PC 等 ) WEB ブラウザが必要となります 以下のサービス推奨動作環境に合わせ 事前にご用意ください ひかりワンチーム S

目 次 1. コインキット複合機を用いたプリント及びコピーについて サービス概要 コインキット複合機とは プリント及びコピーのご利用方法 Web ブラウザを用いた印刷..

管理者マニュアル

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

Microsoft Word - Office365マニュアル_教職員向け.docx

Splashtopスタートガイド

ATR CALL BRIXアプリ

ID 保存されても問題無い共有されていない PC でしたら ログインボタンの上にある [ID 保存 ] のチェックボックスにチ ェックを入れて下さい 3. パスワードのオートコンプリート ログインボタンを押した後に 環境によっては以下のような確認が表示されます 保存させても安全な環境か判断頂き どち

UCSセキュリティ資料_Ver3.5

/ 11

PowerPoint プレゼンテーション

Microsoft Word - XOOPS インストールマニュアルv12.doc

01 準備する マイナポータルを利用するために必要となるものを説明します 作業の流れ マイナポータルをはじめて利用する方が マイナポータル利用開始までに行う作業の流れについて説明します 本節の説明は IC カードリーダライタを使ってマイナポータルを利用する方が対象です ご利用のブラウザ (Inter

PowerPoint プレゼンテーション

目次 1. はじめに 本書の目的 本書の対象 作成環境 準備 インストール環境の確認 ライセンス インストーラー インストール その

BACREX-R クライアント利用者用ドキュメント

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

<4D F736F F D C EC08E7B8AC888D591808DEC837D836A B E646F A81698FED E A2E646F63>

カスペルスキーセキュリティご利用までの流れ STEP1. お申込み カスペルスキーセキュリティのお申し込み完了後 画面の案内にしたがってセキュリティソフトの ダウンロード インストールを行ってください インストール時に アクティベーションコードの入力が必要です アクティベーションコードはマイページで

カルテダウンロード 操作マニュアル

1. ロック画面の操作方法変更 セキュリティ強化のため ロック画面の操作方法が変更となります 画面ロックを変更する場合 バックアップパスワードを入力する必要があります 端末のロック解除に指紋認証を設定している場合 端末の再起動時も 初回のみバックアップパスワードを入力する必要があります < 画面ロッ

Android エージェントをバージョンアップする アプリケーション配信機能を利用する場合 エージェントを再インストールする場合 App Manager を利用する場合 バージョンアップ確認方法 Android エージェントから確認

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

v6

目次 マカフィー R セキュリティサービス 目次 2 はじめに 3 動作環境 4 マカフィー R セキュリティサービスでできること 5 1 インストールの前に 6 2 インストール インストール方法 7 3 マカフィー R セキュリティサービスの基本操作 メイン画面を開く

パソコン画面イメージ 既に トークン発行 ボタンをクリックされ スマートフォン等に 専用アプリのダウンロード (P3) は終了しているが 初回のワンタイムパスワード認証 (P7) を行っていない場合は トークン発行の省略 ボタンが表示されますので これをクリックしてください この場合は 次の画面で

目次 概要 3 プログラム可能な犯罪ロジックは ウェブ アプリケーションの流れと内容を変更する 3 プログラム可能な犯罪ロジックは サーバー 再度のセキュリティ制御を破る 4 ジオロケーションとデバイス識別 4 アカウント プロファイリング 5 取引の確認 / 署名 5 二要素認証システム 5 Tr

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

情報連携用語彙データベースと連携するデータ設計 作成支援ツール群の試作及び試用並びに概念モデルの構築 ( 神戸市こども家庭局こども企画育成部 千葉市総務局情報経営部業務改革推進課 川口市企画財政部情報政策課 ) データ構造設計支援ツール設計書 2014 年 9 月 30 日 実施企業 : 株式会社ア

スターターガイド

Transcription:

続 Man in the Browser in Androidの可能性 Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社フォティーンフォティ技術研究所 http://www.fourteenforty.jp Ver 2.00.01 1

はじめに この資料は 2013 年 2 月 28 日に行われた Security Days ナイトセッションでの発表資料を一部修正し作成したものです 2012 年 12 月ののマンスリーリサーチ Man in the Browser in Android の可能性 をまだお読みでない方は そちらをご覧になってからお読みいただくと理解しやすいと思います 2

背景 :Android の普及と Man in the Browser Android マルウェアの増加 従来からの Windows PC マルウェアの攻撃手法の高度化 オンラインバンクを狙った Man in the Browser (MITB) McAfee 脅威レポート 2012 年第 3 四半期より転載 3

Man in the Browser (MITB) とは ブラウザ内に侵入して 画面を書き換える 送信されるデータを書き換える パスワードを盗むなどを行う攻撃手法 主にオンラインバンクへのアクセスを監視 ユーザーの入力の搾取 改ざんを行う 二要素認証を用いても 正規のセッション パスワードを攻撃時に用いることもできるため防げない 画面書き換え送受信情報書き換え 4

MITB の現状 ( 海外 ) Operation High Roller 2012 年 US ヨーロッパを中心に行われた MITB 攻撃 2 ヵ月間で最大で 20 億ユーロの被害が発生 ( およそ 2,000 億円 ) McAfee ホワイトペーパー Operation High Roller より 5

MITB の現状 ( 国内 ) ZeusやSpyeyeといったツールキット 2012 年 国内でも銀行などを対象にした攻撃が現実に起きている 三菱東京 UFJ 銀行 三井住友銀行 みずほ銀行など 画面は http://www.bk.mufg.jp/info/phishing/ransuu.html より引用 6

脅威予測 スマートフォンユーザーの増加 スマートフォンによるオンラインバンク利用者の増加 スマートフォン上で MITB 攻撃が成立するのか対策方法があるのか 7

MITB in Android Android 端末のブラウザに侵入 画面書き換え 送受信情報の書き換え 現状では現実の脅威の報告例はない 8

MITB in Windows 典型的な手法 メールなどでマルウェアをユーザーに配布 実行させる IEなどのブラウザプロセスのメモリを書き換え 特定のURLへの接続を見張る Malware Process Browser Process 書き換えられた画面 コードインジェクション 9

Android のセキュリティアーキテクチャ すべてのアプリケーションが原則別ユーザーで動作メモリ ファイルにアクセスできない ProcessA uid = 10009 ProcessB uid = 10112 ファイル ファイル Android 10

Android と PC(Windows) との大きな違い Windows で起きる MITB がそのまま Android で起きるか? Windows では同じユーザーで動作させている他のプロセスのメモリを変更可能 MITB の基本的な手法として利用 Android では各プロセス ( アプリ ) が別ユーザーとして動いており 他のプロセスにアクセスできないように設計されている Android マルウェアをインストールしてしまってもブラウザそのものへの影響は原則ない Malware Process Browser Process Malware Process Browser Process Windows Android Android ではマルウェアが直接ブラウザに介入することができない 11

Man in the Browser in Android の可能性 Android において MITB を成功させるには? 相手プロセスのメモリへの侵入方法を考える Android において ブラウザに介入できるとすれば 以下の 4 つの可能性が考えられる root 化端末への侵入 Android システム アプリの脆弱性 Class Loading Hijacking 脆弱性 Browser Extension 今回は 下の二つについて詳しく見てみる 12

Class Loading Hijacking 脆弱性の利用 Class Loading という外部の DEX コードを読み込む機能 ファイルなどをコードとして取り込める Windows の DLL Hijacking と同様の脆弱性の可能性 2011 年シマンテックより発表された http://www.symantec.com/connect/blogs/android-class-loadinghijacking 13

Windows DLL Hijacking 1 ファイル実行 Local PC Network Dir 2 対応アプリ起動 4Foo.dll? Data.abc 3Foo.dll? System Dir Foo.dll ネットワーク上におかれたファイルを開いたとき アプリケーションが Foo.dll を読み込もうとするが ローカルに見つからないと ネットワーク上のものを読んでしまう 14

DexClassLoader classes.dex ( 複数のコードのアーカイブ ) を動的に読み込む 引数 dexpath : 読み込むdexファイルのパス optimizeddirectory : 最適化適用後のodexファイルの出力パス いずれかのパスが他アプリから書き換え可能な場合脆弱 15

Class Loading Hijacking 脆弱性の利用 ProcessA Browser DexClassLoader dex 書き換え dex ブラウザが読み込む dex ファイルを書き換えられるとすれば ブラウザに侵入可能 16

Class Loading Hijacking 脆弱性の利用 Android APIのドキュメントにも注意書き 主要ブラウザでこのような問題を作りこんでしまう可能性は低い 標準ブラウザ Chrome, Firefoxを調べた限りは現状脆弱性はない 対策 システム ( アプリ ) のアップデート 17

Browser Extension Android 版 Firefox はブラウザアドオンをサポート 悪意あるアドオンを導入 画面等を書き換えられる可能性がある アドオンが安全かどうか判定する明確な方法はない AMO(addons.mozilla.org) には 審査を通ったもののみが登録されている 対策としては ウェブページなどで促されるままに AMO 以外からアドオンを導入しないこと 18

First PoC of Firefox for Mobile MITB Addon ユーザーが悪意あるアドオンを Firefox にインストールしてしまった場合何ができるのか? 画面の書き換え 情報の読み取り ( パスワードなど ) 送信データの書き換え 実際にどのような動きになるのか 19

Addon の構造 1 Firefox for Android Addon main.js PageMod({ include: *.demo_bank.co.jp/, contentscript:data.url( content.js ) }); http://yahoo.co.jp/... content.js 特定ページ上に JavaScript を挿入 http://www.demo_bank.co.jp/... 20

Addon の構造 2 Firefox for Android Addon main.js content.js ユーザー ID パスワード ログイン var button = document.getelementsbyname( login_button ).item(0) button.onclick = function(){ // ここで攻撃者サーバーに情報送信 } ログインボタンイベントの書き換え 21

デモ Online Bank 2. オンラインバンクログイン Attackers Server 192.168.1.181 3. アドオンがログイン情報送信 1. アドオンインストール Mal Addon 22

最初に 悪意あるアドオンをインストールデモ用に作成した銀行サイトにログインすると 攻撃者側にユーザー ID とパスワードが送信されていることがわかる 23

Firefox Addon Install without User Awareness ユーザーに許可なく 悪意ある Addon を Firefox にインストールことができるか? できる場合 root 化なし ユーザーによる悪意あるアドオンのインストールなしで MITB が成立する Firefox の脆弱性を発見 ( すでに報告済み ) 悪意あるアプリ ( 特殊なパーミッションは必要なし ) をインストール 実行すると ユーザーに気づかれることなくアドオンをインストール可能 ( 方法の詳細は現在は公開不可 ) その結果どのようなことが起きるかは 先ほどお見せした通り 24

今回は APK ファイルをインストール後 起動する その後 Firefox で とある操作を行うが 現在は公開できないため暗転この操作は 特別なものではなくユーザーが通常利用で行う操作このタイミングで 悪意あるアドオンがインストールされる 25

危険度の比較 ( 攻撃者視点 ) 審査 Mal-Addon のインストール (AMO による審査 ) インストール可能性 (Addon はインストール数が少ない ) 脆弱性 ( 脆弱性を探す必要なし ) Android マルウェアによる Addon インストール (Play ストアによる審査 ) (Play ストア またはその他の場所からインストールされる可能性が高い ) ( 脆弱性を突く必要あり ) 26

まとめ Android のブラウザの MITB 可能性 有り Windows に比べるとハードル高 root 化によるリスク大 root 化されてない場合 システムの脆弱性 ブラウザの脆弱性 ブラウザプラグイン Android のセキュリティモデルを適切に運用できることが重要 Android ならではの対策の難しさも ( サードパーティアプリには限界がある ) MITB に関して言えば マルウェアを実行してしまうだけで MITB が可能となってしまう Windows PC を利用するよりも Android を利用したほうが安全? 脆弱性を突かないと MITB が成功しないという点では Android のほうが安全と言える MITB 以外の フィッシングや 偽アプリには Windows PC 同様注意が必要 怪しいアプリはインストールしない! 27

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック