99.7%のAndroid端末に情報漏えいの危険、ドイツの研究者が指摘


 Android端末に搭載されているアプリに、ウェブサービスとの認証に用いるトークンを暗号化せずに通信している脆弱性が存在し、第三者に悪用される危険があるとして、ドイツのウルム大学の研究者が情報を公開した。

 公開された情報によると、この脆弱性はClientLoginと呼ばれる認証プロトコルを用いているAndroidアプリに、暗号化されていないHTTPを利用して認証トークンをやりとりしているアプリがあることに起因する。Googleカレンダーと連携する標準のカレンダーアプリや連絡先アプリのほか、TwitterやFacebookなどのサードパーティのアプリにこの脆弱性が存在し、Androidアプリ以外でもHTTP経由でClienLoginを利用しているアプリケーションも悪用の危険があるとしている。

 暗号化されていない公衆無線LANなどでこれらのアプリを利用した場合、第三者が通信を傍受することで認証トークンの取得が可能。認証トークンは最大2週間使用されるため、認証トークンにより第三者によってカレンダーや連絡先などにアクセスされ、内容の閲覧や改ざんなどが行われる危険がある。

 研究者は、Android 2.1/2.2/2.2.1/2.3.3/2.3.4/3.0を搭載する各端末を用いて、カレンダー、連絡先、ギャラリーの各アプリに対して検証を実施したところ、Android 2.3.3以前のバージョンでは実際に攻撃が可能であることを確認したという。5月2日時点でのAndroidのOSシェアの統計によれば、99.7%のAndroid端末がAndroid 2.3.3以前のバージョンで、ほとんどの端末に脆弱性が存在する状態だとしている。

 また、Android 2.3.4および3.0では、カレンダーと連絡先のアプリではHTTPSによる通信が行われていたが、ギャラリーのアプリはPicasaとの同期が依然暗号化されていない状態だったという。

 対策としては、アプリの開発者に対してはHTTPS経由でClientLoginプロトコルを利用するか、OAuthを利用した認証に切り替えることを提言している。また、利用者側には、Android 2.3.4へのアップデートや、影響を受けるアプリケーションを使用している場合にはオープンな無線LANに接続しないことなどを推奨している。

 

(三柳 英樹)

2011/5/18 18:12