一部の人気アプリは、ユーザー名やパスワード、クレジットカード情報などの機密データをスマートフォンのメモリに平文で保存するため、ハッカーにとって格好の標的となります。シカゴに拠点を置くモバイルフォレンジック企業viaForensicsは最近、iOSとAndroidプラットフォームの両方で最も人気のあるアプリ数十件の監査を完了し、この事実を発見しました。
Android Mail for ExchangeやHotmail、Foursquare、Grouponなどの有名アプリの中には、2011年初頭にリリースされたバージョンのアプリでは、ユーザーのパスコードや、ユーザーがアプリを通じてアクセスした情報の一部を、携帯電話のメモリに平文で保存していたものがありました。
犯罪者があなたの携帯電話に物理的にアクセスできれば、そのデータをすべて見つけ出し、それを使って個人情報を盗むのはそれほど難しくないでしょう。携帯電話にリモートアクセスしてキャッシュされたデータを収集することさえ、今では可能になりつつあります。Android スマートフォンやジェイルブレイクされた iOS スマートフォンにおけるモバイル マルウェアの増加は、セキュリティ上の脆弱性がこれまで以上に悪用されやすくなっていることを意味しています。
スマートフォンには多くの情報が保存されていますが、その多くは、少なくともアプリの初期設定時には、高いセキュリティ基準を謳い、個人データへのアクセスにユーザー名とパスワードを要求するアプリを通して保存されています。しかし、こうしたアプリの多くは、必要のない情報をスマートフォンに保存したり、オフラインで保存する必要がある場合でも、すべての情報を暗号化していないのです。
今年初め、iPhoneが位置情報を暗号化されていないファイルに保存していることに、誰もが衝撃を受けました。しかし、位置情報の履歴は、パスワード(多くの人が複数のアカウントで同じパスワードを使い回していることを考えると)やクレジットカード番号、上司に送ったメッセージを携帯電話のメモリに保存することに比べれば、取るに足らないものに思えます。携帯電話は簡単に盗まれ、特にAndroidスマートフォンでは悪質アプリが増加しています(Lookout Mobile Securityによると、6か月前と比べて2.5倍に増加しています)。そのため、個人情報の保存を軽視すべきではありません。
viaForensicsがテストしたアプリのリストと、各アプリが漏洩した情報量の概要は、こちらでご覧いただけます。ViaForensicsは結果を公開する前にすべてのアプリ開発者に連絡を取ったため、テスト対象となったアプリの多くは、セキュリティホールが修正された以前のバージョンです。しかし、これらは、必要以上に多くの情報をスマートフォンに保存しているアプリが数十万あることのほんの一例に過ぎません。
どのような種類のアプリが安全ではないのでしょうか?
viaForensicsのテストによると、あらゆる種類のアプリ(ファイナンシャルプランニング、生産性向上、ソーシャルネットワーキングなど)は、アプリデータやログイン情報の保存時に重大なセキュリティホールを抱えている可能性があります。しかし、重要なのは、これらのアプリ自体は悪意のあるものではないということです(ただし、特にAndroidプラットフォームでは、個人情報を盗むことのみを目的として開発されたアプリが存在します)。それでもなお、これらの安全でないアプリは、悪意のある攻撃の標的となる可能性があります。
「中程度の技術スキルを持つ人なら、Android SDK(ソフトウェア開発キット)をダウンロードできますし、スマートフォンさえ手に入れば、そのデータを読むことも可能です。彼らは金銭を必要とするようなことは何もしていません」と、viaForensicsの技術サービス担当副社長、テッド・ユール氏は語る。ユール氏によると、これらの脆弱性は、単にアプリを急いで開発した結果に過ぎないという。SDKでパスワードやアプリデータを公開することは、アプリが正常に動作するために全く必要ではない。「そもそも、なぜ機密データを平文で保存するのでしょうか? データが収集対象でなければ、攻撃者はそれを狙わないでしょう」とユール氏は言う。
一部の人にとって、この情報にアクセスできることは無害です。Foursquare のユーザー名とパスワードを知っている人が、それが銀行口座や仕事用メールのユーザー名とパスワードと同じでない限り、その名前とパスワードを使ってできることはあまりありません。
しかし、独立系開発者「evthedev」(コメントは得られなかった)が作成した「スターバックス カード マネージャー」と呼ばれるサードパーティのダウンロード アプリなど、一部のアプリは、ユーザーのスターバックス クレジットカード番号、有効期限、CVN(カード認証番号)全体を携帯電話の読み取り可能なメモリに保存していた。
モバイルクレジットカード読み取りアプリ「Square」のような、より人気の高い金融アプリでさえ、一部の取引情報をiPhoneにキャッシュしていました(Android版はSquareでアクセスしたほとんどの情報を安全に保存し、警告のみで合格しました)。どちらのバージョンもユーザーのパスワードは適切に隠されていましたが、iOS版では販売者のスマートフォンに購入者のクレジットカード番号の下4桁が保存されていました。しかし、「パッドで署名した際に、(アプリ内で行われた)最後の署名がスマートフォンのメモリ上に残っていたのが最大の欠点でした」とEull氏は言います。
幸いなことに、これらは例外であり、一般的ではありません。ほとんどの金融アプリ(Bank of AmericaやPayPalなど)はセキュリティのスコアが高く、スコアが非常に低かったのはLinkedInやAIMなどのソーシャルネットワーキングアプリです。これらのアプリでは、ほとんどのユーザーがそれほど重要ではない情報を共有し、ある程度のオープン性を期待し始めています。
マルウェアはセキュリティホールを悪用する可能性がある
この脅威はまだ理論上のものですが、マルウェアはモバイルデバイスにおけるプライバシーに対する新たな大きな脅威となる可能性があります。ユール氏は、ユーザーのアプリデータやログイン情報は多くの場合、スマートフォンの読み取り可能なメモリに保存されているため、ハッカーがマルウェアを作成し、ユーザーがスマートフォンの使用中に秘密だと思っていた情報をすべて抜き出す可能性があると指摘しました。
Android ユーザーは、悪意のあるコードを含むアプリをダウンロードすることで感染することが多い、携帯電話へのマルウェア感染例の顕著な増加に直面しており、こうした悪意のあるコードが、人気のアプリが保存している暗号化されていないユーザー名、パスワード、その他のアプリデータを検索できない理由はありません。
Lookout Mobile Securityのコミュニケーションディレクター、アリシア・ディヴィットリオ氏は、他の「安全な」アプリの情報を危険にさらす可能性のある、疑わしいアプリのダウンロードに対して警告を発しています。「人々は、携帯電話の情報にアクセスできる可能性のあるアプリをダウンロードしています」とディヴィットリオ氏は述べ、「暗号化されていないWi-Fiを使用している場合、同じWi-Fiを使用している人は誰でも転送されたデータを見ることができます。モバイルデバイスでのあらゆる搾取行為を完全に阻止するには、アプリのデータは暗号化され、Wi-Fiも暗号化される必要があります」と述べています。3Gのみを使用するとデータ使用量が消費されますが、信頼できるWi-Fiが見つからない場合は、携帯電話のWi-Fi接続をオフにすることをお勧めします。また、Lookoutのような、携帯電話上のマルウェアをスキャンできるセキュリティアプリをダウンロードすると、侵入から携帯電話を保護するのに役立ちます。
これらは最悪のシナリオを想定した憶測に過ぎないかもしれませんが、同時に、プライバシーとセキュリティの最終的な責任は誰にあるかという、テクノロジー業界における真剣な議論を喚起するものです。AppleやGoogleは、自社のOSにおける情報の保存方法を監視すべきでしょうか?アプリ開発者は、現在よりも厳格な統一セキュリティ基準を遵守すべきでしょうか?それとも、スマートフォンユーザーの大多数が、デバイスの仕組みやセキュリティ侵害から身を守る方法を学ぶ時間など取らないとしても、消費者は自らの安全を守る責任があるのでしょうか?LookoutのdiVittorio氏は、viaForensicsの調査の主旨に賛同し、「アプリ開発者は、個人情報には注意が必要であることを認識する必要があります。そして、アプリ開発者であれば、安全なアプリを開発する大きな責任を負います」と述べています。
明らかにすべてのアプリ開発者がユーザーのセキュリティ保護という義務を理解しているわけではないものの、viaForensicsのCIOであるアンドリュー・フーグ氏は楽観的な見方を示している。「昨年11月には、アプリが銀行情報を安全でない状態で保存していました」と彼は述べ、現在では「開発者が侵害対策としてアプリを構築する方法に前向きな傾向が見られます」と付け加えた。しかし、アプリ開発者はマルウェア開発者よりもはるかに迅速にセキュリティ構築能力を向上させる必要がある。さもなければ、ユーザーの不満という恐ろしい警告に直面することになるだろう。
