Android携帯の99%に個人情報リークの穴!

Android携帯の99%に個人情報リークの穴! 1

私もあなたもみんな持ってるAndroidですけど... 暗号化されてないネットワークでサイトにログインすると、Android端末の99%は中見られちゃう可能性があるそうな!

この脆弱性を見つけたのは独ウルム大学のリサーチャーたち。

Android 2.3.3以前のバージョンでは、データAPIにアクセスする時に必要な「ClientLogin」と呼ばれる認証プロトコルの実装が適切に行われてないらしく、このClientLoginを使ってるカレンダ・連絡先などのGoogleサービスやサードパーティーのTwitterやFacebookなどのアプリにログインすると、その認証トークンが14日間も保存され(もっと短くしないと!)、ノウハウ知ってる人はそれを悪用して他人のアカウントに侵入できてしまう、というわけ。

「この認証トークンを大量に集めたい攻撃者は、暗号化されてないワイヤレスネットワーク(T-モバイルやAT&Tワイヤレスやスタバの接続環境など)でよく使われるSSID(evil twin)でWiFi接続ポイントを立ち上げればできる。...Android携帯はデフォルトで「既知のネットワーク」に自動的に接続する設定になっており、アプリも直ちに同期を試みる。同期はおそらく失敗する(攻撃者がリクエストを転送しない限り)が、攻撃者は同期を試みたサービスひとつひとつの認証トークンを回収することが可能」(研究チーム)

 チームで模擬的に攻撃仕掛けてみたら、「あっさりできてしまった」んだそうですよ...がびょ~ん。Googleが今月リリースしたAndroid 2.3.4ではこのセキュリティホールは塞がれているのですけど、その前のバージョンはまだなので「世のAndroidフォンの99%以上がこの脆弱性を抱えている」ことに...。

Android 2.3.4に今すぐアップデートできない人は、ClientLogin使うのはhttpsのサイトだけにした方が良さそうですね。Googleから修正パッチが出たら問題解決ですけど、同大研究チームでは修正パッチが出るまで以下の対応策を取るよう推奨しています!

・オープンなWiFiネットワークに繋ぐ時は設定メニューで自動シンクをオフに。

・前回繋いだオープンネットワークは消去(そのネットワーク名を長押ししてforgetを選ぶ)し、自動的にそこに繋がらないようにする。

・いっそオープンなWiFiネットワークには最初から繋がないのが一番。

[Uni-Ulm via The Register]

Kat Hannaford(原文/satomi)