Androidアプリから情報流出の恐れ、99.7%の端末に影響
米GoogleがAndroid搭載端末で提供しているカレンダーアプリケーションや連絡先アプリケーションの情報が暗号化されないまま転送され、他人に情報を傍受されたり、改ざんされたりする恐れがあることが明らかになったと、ドイツの研究者が発表した。Androidを搭載したスマートフォンの99.7%がこの脆弱性の影響を受けるとしている。
ドイツのウルム大学の研究者が公開した情報によると、この脆弱性はGoogle CalendarやGoogle Contactsなど「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン(authToken)がやり取りされている問題に起因する。これは公衆無線LANを介して他人が簡単に情報を傍受できてしまう状態だという。
攻撃者が傍受したトークンを使えば、カレンダーや連絡先などの個人情報にフルアクセスできるほか、ユーザーに気付かれないまま情報を改ざんしたり、削除したりできてしまう。
研究者は実際に、Androidのバージョン2.1/2.2/2.2.1/2.3.3/2.3.4/3.0を搭載した端末と、ネイティブのGoogle Calendar、Google ContactsおよびGalleryの各アプリケーションに対して攻撃を仕掛ける実験を実施した。その結果、Android 2.3.3までのバージョンでは、CalendarとContactsアプリケーションのリクエストがHTTPを介して暗号化されないまま送信されていることが判明し、authToken攻撃に対して脆弱であることが分かった。
Android 2.3.4以降のCalendarとContactsアプリケーションではセキュアなHTTS接続が使われるようになったが、WebアルバムPicasaの同期サービスでは依然としてHTTPが使われているという。
この脆弱性は標準的なAndroidアプリケーションだけでなく、HTTP経由のClientLoginプロトコルを介してGoogleサービスにアクセスするデスクトップアプリケーションにも影響を及ぼすとしている。
開発者側の対策としては、ClientLoginを使っているアプリケーションと同期サービスで直ちにHTTPSを経由するよう切り替えるか、よりセキュアな認証サービスのOAuthに切り替えることを提言。ユーザー側ではAndroid 2.3.4へのアップデート、公衆無線LANに接続する際の自動同期設定を無効にするなどの対策を挙げている。
関連記事
- Android端末を狙うマルウェアが400%の激増――携帯セキュリティ報告書
- 2割のAndroidアプリが個人情報を取得 犯罪に悪用される恐れも
- Androidに情報流出の脆弱性が見つかる パッチは開発中
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- iOS 27は「iPhone 11」以降で利用可能 iOS 26から据え置きで過去最大のiPhoneに対応 (2026年06月09日)
- あなたの街の「スマホ決済」キャンペーンまとめ【6月版】〜PayPay、d払い、au PAY、楽天ペイ (2026年06月08日)
- 「それ、家じゃダメなの?」──スタバ長時間滞在に冷ややかな目 “スマホ操作”に“PCで仕事”も (2026年06月07日)
- Rakuten Link、着信拒否とRCSを頑なに拒否――楽天経済圏スーパーアプリはユーザーを置いてきぼりか (2026年06月07日)
- JALモバイルに「ahamo」参入の衝撃 ドコモのホワイトレーベル戦略で“第2のahamoショック”が起こる? (2026年06月06日)
- なぜ? 「PayPay改悪」といまネットで騒がれている理由 ユーザーがすべき対策を解説 (2026年06月05日)
- 「iOS 27」はアプリの起動速度が30%高速、最適な通信切り替えも iPhone 11やiPhone SE(第2世代)も対応 (2026年06月09日)
- ソフトバンクが「今回もやる」とGalaxy S26を月額1円で販売――販売方法を早急に見直さないと撤退を迫られるメーカーも (2026年03月08日)
- LeicaユーザーがXiaomiの「Leitzphone」に熱狂した理由 「スマホの割に」ではなく純粋に欲しいカメラ (2026年06月07日)
- シリーズ史上最大の1.5型ディスプレイ搭載スマートウォッチ「Amazfit Active Max」 約3万円 (2026年06月06日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。