ドイツの研究者チームが公開した新たな報告によると、市場に出ている「Android」搭載スマートフォンの多くは攻撃に対して脆弱で、暗号化されていないWi-Fiネットワークを介して他者からカレンダーや連絡先のデータへアクセスされる可能性があるという。
最新バージョンのAndroidでは問題が修正されているが、Android機器全体の99.7%は旧バージョンを搭載していると、研究者らは述べた。米国時間5月13日に公開されたレポート「飛び交うauthTokenの捕捉:GoogleのClientLoginプロトコルのセキュリティ問題」によると、攻撃者は、暗号化されていないWi-Fiホットスポットを介し、Android搭載機器がGoogleのサービスとやりとりする際に使用する認証トークン(authToken)を傍受することで、攻撃を実行する可能性があるという。
AndroidからPicasa Web Albumsにアクセスするときの情報を、Wiresharkで取得したときの画面ショット(提供:Jens Nickels氏、Bastian Konings氏、Florian Schaub氏) ※クリックすると図が拡大されます
比較的新しいAndroid上の「Google Calendar」「Google Contacts」「Picasa Web Albums」をはじめ、データAPI(アプリケーションプログラミングインターフェース)へのアクセスにClientLogin認証プロトコルを使用している理論上すべてのGoogleサービスに対し、なりすまし攻撃を仕掛けることは「きわめて簡単」だと、このレポートは指摘している。
Googleの担当者は、最新バージョンのスマートフォン向け「Android 2.3.4」およびタブレット向け「Android 3.0」では問題がないことを明言した。同担当者は電子メールで「問題について認識している。最新バージョンのAndroidではCalendarやContactsの不具合を解決した。現在、Picasaの問題についても調査中である」と述べた。
脆弱性はこのように悪用される。ClientLogin ProtocolではアプリケーションがHTTPS経由でアカウント名とパスワードを送信し、GoogleサービスにauthTokenを要求する。その後authTokenは2週間、GoogleサービスのAPIに対するリクエストで利用される。研究者らによると、authTokenが暗号化されてないHTTPで送信されれば、攻撃者はWiresharkのようなネットワークアナライザを使って通信を傍受できるという。
Anroidユーザーは一刻も早く最新版にアップグレードすべきだ。「しかし、端末のベンダーによっては、アップデートが提供されるまでに数週間から数カ月かかる可能性がある」と研究者らは述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
「Android」スマホのホーム画面を手軽に効率化する5つの方法 
シャオミ初のEV「SU7」、MWCに登場 .jpeg)
存在しないはずの「ターミナル0」が羽田に出現、なぜ?--異業種連携で「未来の空港」を研究開発へ