研究者によると、ほぼすべてのAndroidスマートフォンにセキュリティ上の欠陥があり、連絡先、カレンダー、写真のデータが近くのハッカーに漏洩する可能性があるという。しかし、これはAndroidのセキュリティに対する深刻な脅威なのか、それとも単なる誇張された恐怖煽りなのか?
私たちが知っていることを順に見ていきましょう。
何が問題なのですか?
いくつかのGoogle Androidアプリは、Webベースのサービスへの機密データの転送を承認するためにClientLoginと呼ばれるメソッドを使用しています。ClientLoginは認証トークンを使用して、ユーザーのログイン情報とパスワードを安全なhttps接続を介してGoogleカレンダーや同期された連絡先などのWebサービスに渡します。
ウルム大学メディアフォーマティクス研究所の研究者によると、この問題はトークンが検証され返された時点で発生する。トークンはその後、安全でないHTTP接続を介したリクエストで最大2週間使用される可能性があり、Wi-Fiネットワーク経由でハッカーに盗まれる危険性がある。
何が危険ですか?
ハッカーは盗んだトークンを使ってカレンダー、連絡先、Picasaの画像にアクセスし、これらのサービス内の情報を盗んだり改ざんしたりする可能性があります。企業スパイやストーカー行為に利用される可能性があります。
誰が影響を受けるのでしょうか?
この問題は、連絡先とカレンダーについては2.3.4より前のすべてのAndroidバージョン、Picasaウェブアルバムについては2.3.4に該当します。研究者によると、この問題はAndroidスマートフォンの99.7%に当てはまるとのことですが、彼らが使用しているデータはAndroidマーケットに最近アクセスしたユーザーのみを対象としているため、正確な数値ではありません。それでも、大多数のAndroidスマートフォンが影響を受けていると言っても過言ではありません。
攻撃を受ける可能性はどのくらいですか?
問題はそこにある。この攻撃は、ユーザーとハッカーが同じWi-Fiネットワークに接続している必要がある。研究者らは、スターバックスのような人気のWi-Fiアクセスポイントを偽装する「悪魔の双子ネットワーク」の可能性について言及しているが、より現実的な脅威は、安全でない一般的なWi-Fiから発生する可能性が高い。
たとえそうであっても、ハッカーはデータの窃盗だけを目的としてすぐ近くにいるのです。昨年騒動を巻き起こした大量ハッキングツール「Firesheep」のように、この問題は考えれば恐ろしいものですが、一般ユーザーが攻撃を受ける可能性は低いでしょう。
ユーザーは何ができますか?
最善策は、安全なWi-Fiネットワークを利用することです。Androidの設定で、オープンWi-Fi接続時の自動同期をオフにすることもできます。Android 2.3.4にアップデートすれば、ほとんどの問題は解決するはずですが(Picasaの情報は依然として脆弱です)、それは完全に携帯電話会社と携帯電話メーカーの責任です。
Google は何か対策を講じるべきでしょうか?
研究者らはGoogleに対して、Googleカレンダーと連絡先がAndroid 2.3.4で導入したように、すべてのアプリと同期サービスをhttpsに切り替えることを義務付けるなど、いくつかの勧告を提示しています。また、OAuthなどのより安全な認証サービスへの切り替え、認証トークンの有効期間の制限、http接続におけるClientLoginリクエストの拒否、そして保護されたネットワークへの自動Wi-Fi接続を制限する方法の開発も推奨しています。
さらに多くのテクノロジーニュースや解説をご覧になるには、 FacebookやTwitterで Jared をフォローしてください。
