Google、Androidアプリの情報流出問題で対応を表明

[鈴木聖子，ITmedia]

　米GoogleがAndroid搭載端末で提供しているカレンダーアプリケーションや連絡先アプリケーションから個人情報が流出する恐れがあると指摘された問題で、同社は対応を表明したようだ。

　Android情報サイトのAndroid Communityなどによれば、Googleは5月18日に発表した談話でGoogle CalendarとGoogle Contactsにセキュリティ問題があることを認め、次のように述べた。

　「特定の状況下でCalendarとContactsのデータに第3者がアクセスできてしまうセキュリティ問題について、本日からフィックスの提供を開始する。ユーザー側で操作する必要はない。フィックスは今後数日かけて各国でリリースする」

　Androidアプリケーションの問題はドイツのウルム大学の研究者が発見したもので、「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン（authToken）がやり取りされている問題に起因する。攻撃者が公衆無線LANを介してこのトークンを傍受すれば、カレンダーや連絡先などの個人情報にフルアクセスできるほか、情報の改ざんや削除も可能になるという。Androidを搭載したスマートフォンの99.7％がこの脆弱性の影響を受けるとされる。

　HTTPを介して認証用トークンをやり取りしているアプリケーションはGoogle CalendarとGoogle Contactsにとどまらず、研究者はWebアルバムPicasaの同期サービスなどについても問題を指摘している。しかしGoogleの18日の談話では、ほかのアプリケーションについては言及していないもようだ。