テクノロジー

“透明なレイヤー”をAndroidスマホに重ね、ピクセル情報を盗む攻撃 30秒で二要素認証コードも窃取
2025/11/18 23:45 コメント 21件
1: Seamless 2025/11/19 09:19

Google Pixel(6から9)Galaxy S25で最大73%の成功率。Googleは高重要度の脆弱性と評価し対応...。透明な画面を重ねユーザーに気が付かれずこっそり画面上の機密データを盗む

2: gabill 2025/11/19 09:58

この手の攻撃の嫌なところは、穴を塞ぐとパフォーマンスが低下してしまうとこだよなぁ

3: hobbiel55 2025/11/19 10:11

「攻撃は、画面を描画する際のわずかな時間差を利用する」

4: casm 2025/11/19 10:19

「機種により29~73%の成功率で、平均14~26秒でコードの窃取に成功」ドラマチックだなぁ。

5: deep_one 2025/11/19 11:07

分からん。/ただ、アプリのオーバーレイ表示って特殊権限がないとできない仕様にはなっていたはず。オーバーレイとは違うのか?

6: uunfo 2025/11/19 11:10

描画時間の差かあ

7: Akech_ergo 2025/11/19 12:12

最初に透明レイヤーを被せる(なんらかのアプリを実行させる?)ハードルが高そうだが、それに成功すれば画面上の情報が容易に盗まれてしまうのか。

8: digits_sa 2025/11/19 12:33

背景色とリンクテキストを同色にする古のホームページの「秘密の入口」を思い出した。インターネット老人会

9: tohima 2025/11/19 13:00

すごいな、こんなことできるんだ

10: BARUBARU 2025/11/19 13:53

これだとAuthenticator でも盗られるから、生体認証がより重要になるのかな。

11: SilverHead247 2025/11/19 14:01

Androidはスマホメーカーが一部改造して独自OSにしており、iOSの様にセキュリティパッチが本当に配布されているのか全く分からない。何なら発売後数年でOSの更新自体が止まってしまうケースもある。

12: interferobserver 2025/11/19 16:22

圧縮速度の差を利用して画面の表示内容を窃取するのか。なんかすごいな。

13: zgmf-x20a 2025/11/19 16:55

「目盗みやがったな!」が現実となるのか…

14: star_123 2025/11/19 17:20

オーバーレイを使ったアプリ便利なものがたくさんあるのでこれ以上規制されないと良いが。犯罪者のせいで世の中がどんどん不便になる(これは脆弱性の報告だけど)

15: blueeyedpenguin 2025/11/19 17:22

"攻撃者はこの処理時間の違いを測定することで、見えない画面の色を推測" すごすぎるでしょ

16: atsushieno 2025/11/19 17:39

原論文中には「特別なパーミッションを必要としない」とあるので、オーバーレイに必要なsystem alert window も使っていないはずなのだが(実際これを有効にしてもらうのはひと苦労ある)、どこまで現実的な攻撃なのか

17: vvvf 2025/11/19 17:55

14秒もOTP表示してるやついるか?

18: yarumato 2025/11/19 18:05

“Androidでは、アプリ同士が「インテント」という仕組みを使って連携できる。攻撃者は、この正規の機能を使って標的となるアプリを起動し、その上に透明または半透明のレイヤーを何層も重ねて画面内容を読み取る。”

19: ShionAmasato 2025/11/19 18:10

「最適化された攻撃では」で、おそらく主要なアプリがコードを出す場所などが分かっている前提下。表示座標や文字の角度をランダム化すれば悪用困難になりそう

20: un_i_take 2025/11/19 18:49

なんかイラストかわよ。

21: Shinwiki 2025/11/19 19:16

ブラウザでもOSでも余計なことばっかしやってるからだろ