logo

「Android」端末に不正アクセス許す恐れ--専門家は最新版への更新を推奨

Elinor Mills (CNET News) 翻訳校正: 湯本牧子 高森郁哉 編集部2011年05月18日 10時55分
  • このエントリーをはてなブックマークに追加

 ドイツの研究者チームが公開した新たな報告によると、市場に出ている「Android」搭載スマートフォンの多くは攻撃に対して脆弱で、暗号化されていないWi-Fiネットワークを介して他者からカレンダーや連絡先のデータへアクセスされる可能性があるという。

 最新バージョンのAndroidでは問題が修正されているが、Android機器全体の99.7%は旧バージョンを搭載していると、研究者らは述べた。米国時間5月13日に公開されたレポート「飛び交うauthTokenの捕捉:GoogleのClientLoginプロトコルのセキュリティ問題」によると、攻撃者は、暗号化されていないWi-Fiホットスポットを介し、Android搭載機器がGoogleのサービスとやりとりする際に使用する認証トークン(authToken)を傍受することで、攻撃を実行する可能性があるという。

  • AndroidからPicasa Web Albumsにアクセスするときの情報を、Wiresharkで取得したときの画面ショット(提供:Jens Nickels氏、Bastian Konings氏、Florian Schaub氏)  ※クリックすると図が拡大されます

 比較的新しいAndroid上の「Google Calendar」「Google Contacts」「Picasa Web Albums」をはじめ、データAPI(アプリケーションプログラミングインターフェース)へのアクセスにClientLogin認証プロトコルを使用している理論上すべてのGoogleサービスに対し、なりすまし攻撃を仕掛けることは「きわめて簡単」だと、このレポートは指摘している。

 Googleの担当者は、最新バージョンのスマートフォン向け「Android 2.3.4」およびタブレット向け「Android 3.0」では問題がないことを明言した。同担当者は電子メールで「問題について認識している。最新バージョンのAndroidではCalendarやContactsの不具合を解決した。現在、Picasaの問題についても調査中である」と述べた。

 脆弱性はこのように悪用される。ClientLogin ProtocolではアプリケーションがHTTPS経由でアカウント名とパスワードを送信し、GoogleサービスにauthTokenを要求する。その後authTokenは2週間、GoogleサービスのAPIに対するリクエストで利用される。研究者らによると、authTokenが暗号化されてないHTTPで送信されれば、攻撃者はWiresharkのようなネットワークアナライザを使って通信を傍受できるという。

 Anroidユーザーは一刻も早く最新版にアップグレードすべきだ。「しかし、端末のベンダーによっては、アップデートが提供されるまでに数週間から数カ月かかる可能性がある」と研究者らは述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集