アンドロイド携帯2.2・2.3(全体の90%)のバグで、リンクを踏むと盗聴・盗撮・メール盗み読みが可能なことが実証された。




シェア
このエントリーをはてなブックマークに追加


以前、特定アプリのスパイについて紹介しましたが、今回は直接実証されたようです。



スマホでリンクをクリックするだけで究極のスパイツールと化す不具合が発覚 予備
2012年03月05日 16時01分47秒



(中略)
スマートフォンがハックされたのはこれ以前にも事例はありますが、公的にデモンストレーションが行われたのは初のこと。今回のデモでは、クルツさんらは通話内容の録音、テキストメッセージの盗み読み、電話の場所の追跡に成功しました。今後、企業の知的財産や会社幹部の有益な情報を狙って同様の攻撃は一般化していくだろう、とクルツさんは指摘。すでにセキュリティ専門家は、モバイル端末への攻撃はどんどん増加し、攻撃内容も効果的なものになっていくと警鐘を鳴らしていますが、今回のデモはまさにこれを示しています。

クルツさんらが行ったのは、実物で無改造のAndroid端末を使って、クルツさん演じる「産業イベント中で忙しい投資者」が危険に遭遇するというデモ。クルツさんのもとに「アプリをアップデートするためにファイルをダウンロードしろ」というテキストメッセージが届き、メッセージ内のリンクをクリックしたところ、ブラウザがクラッシュして端末が再起動。再起動が完了すると端末は以前と同じように動作しましたが、すでに攻撃者は通話内容とテキストメッセージを転送するよう設定済みで、端末の場所も追跡可能な状態になっていました。

デモはAndroid2.2搭載の端末で行われましたが、ブラウザ内のバグを利用しているので、同じブラウザを使用しているAndroid2.3でも起きえます。この2つのバージョンはAndroid全体の90%を占めています。さらに重要なことに、同じくWebKitベースのブラウザはiPhoneやiPad、BlackBerry、GoogleTVでも用いられている、とクルツさん。

やはり、スマホのセキュリティは脆弱であるのかと改めて認識しました。
電話の場所の追跡ということは、GPS機能の乗っ取りに成功していると言うことでしょう。

スマホ使用時のセキュリティ意識の向上が極めて重要ですね。

このケースで言うと、メッセージ内のリンクをクリックしてファイルをダウンロードしたのでしょう。
従って、信頼性の低いサイトで不用意にダウンロードをしないことが重要であると思います(これは、PCでも当たり前ですね。)

それにしても、Andoroidの90%で既に可能とは酷い話です。iPhoneもほぼ全てが可能ということなのでしょう。早くブラウザか、OSの対策をとって欲しいと思います。

思い出したのは、アプリがスパイをしていた事例。やはり、スマホで情報が持ち出されることは、恒常的であると捉えて、個々人が対策していくことが重要ですね。

スマホの人、重要)Facebookがスマホユーザーのスパイを認め、Youtubeはスマホのカメラを遠隔操作が可能である。




シェア
このエントリーをはてなブックマークに追加

関連記事・:


0 件のコメント:

最近の記事も是非どうぞ