The Registerのダン・ゴディン氏によると、Google Androidを実行しているデバイスの大多数は、Googleのサーバーに保存されているアカウント認証情報、連絡先情報、その他の機密データを他人がかなり簡単に盗むことができる攻撃に対して脆弱であるという。
このニュースはドイツのウルム大学の研究者から届いたもので、ユーザーがカレンダー、連絡先、その他のアカウントの有効な認証情報を Google に送信すると、ソフトウェアが平文で送信された暗号化されていない認証トークンを取得し、そのトークンを使って最大 14 日間、不正にそのコンテンツにアクセスできるようになるという。
GoogleのAndroidオペレーティングシステムを搭載したデバイスの大多数は、攻撃者によるカレンダー、連絡先、その他の機密データへのアクセスに使用されるデジタル認証情報の窃取を許す攻撃に対して脆弱であると、大学の研究者らが警告した。研究者らは次のように述べている。
Google サービスに対してなりすまし攻撃を仕掛けることが本当に可能かどうかを知りたかったので、独自の分析を始めました...簡単に答えると、「はい、可能です。しかも、非常に簡単です」となります。
これらの懸念すべき発見は、ライス大学のダン・ウォラック教授による以前の研究結果に基づいています。ウォラック教授は、Twitter、Facebook、Googleカレンダーに影響を与える同様のAndroidのプライバシー脆弱性を発見しました。ウォラック教授は、学部生のセキュリティ授業で行った簡単な演習中に、さほど苦労することなくこれらの脆弱性を発見しました。彼が発見した攻撃は、デバイスが安全でないネットワークに接続されている場合にのみ実行可能です。
Googleは今月初めにAndroid 2.3.4でこのセキュリティホールを修正しましたが、このバージョンでも依然として脆弱性が残っており、Picasaウェブアルバムと同期しているデバイスが暗号化されていないチャネルを通じて機密データを送信してしまう可能性があります。Google自身の統計によると、これはAndroid搭載端末の99%がこの攻撃に対して脆弱であることを意味します。Googleの広報担当者は、同社のAndroidチームはPicasaの欠陥を認識しており、修正に取り組んでいると述べています。
研究者のバスティアン・ケーニングス氏、イェンス・ニッケルズ氏、フロリアン・シャウブ氏は、これらの脆弱性は攻撃者の管理下にあるネットワーク上で Android デバイスを使用する人々に対して悪用される可能性があると警告した。
このような認証トークンを大規模に収集するために、攻撃者はT-Mobile、attwifi、スターバックスといった暗号化されていない無線ネットワークの共通SSID(悪意のある双子)を持つWi-Fiアクセスポイントを設定する可能性があります」と研究者らは述べています。「デフォルト設定では、Androidスマートフォンは既知のネットワークに自動的に接続し、多くのアプリはすぐに同期を試みます。同期は失敗しますが(攻撃者がリクエストを転送しない限り)、攻撃者は同期を試みた各サービスの認証トークンを捕捉します。
研究者らは、ClientLoginを使用しているすべてのアプリは、暗号化されたhttpsチャネルのみを使用するように直ちに切り替えるべきだと提言しました。また、GoogleはauthTokenの有効期間を短縮し、安全でないhttp接続からのClientLoginリクエストを拒否することで、セキュリティを強化できると示唆しました。
このニュースは懸念すべきものであり、非常に多くの人々に影響を与えています。Googleは対応に取り組んでいると言われていますが、私個人としては、そもそもこれほど深刻な問題が存在すること自体が非常に問題だと感じており、漏洩したデータによって生じる可能性のある損害について、Googleが責任を負うことになるのは間違いありません。さらに、Googleの修正は最新バージョンのAndroidを搭載したデバイスにのみ適用され、ほとんどのAndroidデバイスは古いバージョンのままです。
[ザ・レジスター]
