ドイツの研究者チームが公開した新たな報告によると、市場に出ている「Android」搭載スマートフォンの多くは攻撃に対して脆弱で、暗号化されていないWi-Fiネットワークを介して他者からカレンダーや連絡先のデータへアクセスされる可能性があるという。
最新バージョンのAndroidでは問題が修正されているが、Android機器全体の99.7%は旧バージョンを搭載していると、研究者らは述べた。米国時間5月13日に公開されたレポート「飛び交うauthTokenの捕捉:GoogleのClientLoginプロトコルのセキュリティ問題」によると、攻撃者は、暗号化されていないWi-Fiホットスポットを介し、Android搭載機器がGoogleのサービスとやりとりする際に使用する認証トークン(authToken)を傍受することで、攻撃を実行する可能性があるという。
比較的新しいAndroid上の「Google Calendar」「Google Contacts」「Picasa Web Albums」をはじめ、データAPI(アプリケーションプログラミングインターフェース)へのアクセスにClientLogin認証プロトコルを使用している理論上すべてのGoogleサービスに対し、なりすまし攻撃を仕掛けることは「きわめて簡単」だと、このレポートは指摘している。
Googleの担当者は、最新バージョンのスマートフォン向け「Android 2.3.4」およびタブレット向け「Android 3.0」では問題がないことを明言した。同担当者は電子メールで「問題について認識している。最新バージョンのAndroidではCalendarやContactsの不具合を解決した。現在、Picasaの問題についても調査中である」と述べた。
脆弱性はこのように悪用される。ClientLogin ProtocolではアプリケーションがHTTPS経由でアカウント名とパスワードを送信し、GoogleサービスにauthTokenを要求する。その後authTokenは2週間、GoogleサービスのAPIに対するリクエストで利用される。研究者らによると、authTokenが暗号化されてないHTTPで送信されれば、攻撃者はWiresharkのようなネットワークアナライザを使って通信を傍受できるという。
Anroidユーザーは一刻も早く最新版にアップグレードすべきだ。「しかし、端末のベンダーによっては、アップデートが提供されるまでに数週間から数カ月かかる可能性がある」と研究者らは述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス