米特許商標庁は木曜日、カメラの出力やその他のオンボードセンサーのデータを使用してブラウザのGUIをリアルタイムで変更するなりすまし防止方法に関するAppleの特許出願を公開した。
AppleのiOSとMacコンピューティングデバイスが一般消費者の間で人気が高まるにつれ、同社はユーザーの機密情報を盗み取ろうとする数々のセキュリティ脅威に直面しています。木曜日に発見された新たな特許出願は、スプーフィングと呼ばれる特定の種類のWebベースの攻撃に対処するものです。
Appleが申請した「リアルタイム環境データを組み込んだグラフィカルユーザーインターフェース要素」は、Webブラウザのグラフィカルユーザーインターフェースを「偽装」または模倣する不正コードに対処するための試みです。このような場合、悪意のある作成者はユーザーを偽装した別のウェブページにリダイレクトし、ユーザー名、パスワード、クレジットカード番号などの個人情報を入力させようとします。
この脅威に対処するため、Apple は、カメラ、環境光センサー、マイクなど、デバイスのさまざまなオンボードセンサーを使用して、ブラウザの GUI (「クローム」と呼ばれることもある) をリアルタイムの環境データで継続的に更新するシステムを考案しました。
文書によると、リアルタイムビデオをUI要素に組み込むことで、インターフェースの正当性をさらに高めることができるという。理論上は、コンテンツレンダラーに提供されるコンテンツがデバイスのオンボードセンサーにアクセスできない限り、Chromeを偽装することはできない。
このアプリケーションは、上図のように、進むボタンと戻るボタン、移動バー、検索バーを表示する汎用ブラウザインターフェースの例を提供します。これらの要素は、アクティブなウェブページの上のクロームに配置されます。
この例では、デバイスの前面カメラを使用してリアルタイムのビデオフィードを生成します。Chromeは背景Chromeに画像を表示します。この画像はデフォルトの背景色にブレンドしたり、ブラウザChromeが反射しているような錯覚を演出するためにミラーリングしたりできます。
別の実施形態では、カメラ画像はミラーリングされず、透明なウィンドウのような錯覚が生じる。
疑わしい場合は、ユーザーは、例えばカメラを動かす(カメラがデバイスに内蔵されている場合はデバイス全体を動かさなければならない可能性があります)か、カメラの視野内で物体を動かす(例えば、手を振る)ことで確認できます。
さらに、環境光センサーやマイクなどの他のコンポーネントからのデータを使用して、UIをリアルタイムで更新することもできます。例えば、Chromeの背景を周囲の光の変化に合わせて動的に変更したり、周囲の音に合わせて色を「パルス」させたりすることができます。
特許出願の残りの部分は、リアルタイム環境データの代替実装に関するもので、透明度、フレームレート、ぼかしといったユーザーが選択可能なChromeの調整など、様々な選択肢が含まれています。以下に示すように、これらの変更を支援するUIも提供されており、プレビューウィンドウには利用可能なオプションがリアルタイムで表示されます。
Appleが将来のiOSやOS Xにこの技術を実装するかどうかは不明ですが、マルウェアはAppleのエコシステムにとってより現実的な脅威になりつつあります。「Flashback」と呼ばれる悪名高いマルウェアは2011年に出現し、Adobeのインストーラーを装ってMacを標的としました。ユーザーを騙してインストールさせた後、この悪質なプログラムはリモートサーバーに接続し、最終的にはスヌーピングソフトウェアやその他の悪質なコードを含むペイロードを送信するように設計されていました。
しかし、提案されたシステムが効率的に機能するためには、Appleはまず審査プロセスで承認するアプリのセキュリティを確保する必要があります。8月には、ジョージア工科大学の研究チームが悪質なアプリをiOS App Storeに持ち込むことに成功しました。「Jekyll」と名付けられたこのプログラムは、ニュース配信プログラムを装い、インストールされるとツイートを投稿したり、メールを送信したり、モバイル版Safariを悪質なウェブサイトに誘導したりすることができました。
Apple のリアルタイム Chrome アップデータ セキュリティ特許は 2012 年に初めて申請され、発明者は Scott A. Grant とされています。
