Android機の99パーゼントがパスワード破りの危険に曝されている

次の記事

Metaioが提案するタブレット版拡張現実

【本稿のライターは、Jordan Crook】

ドイツのウルム大学の研究者らが、Androidプラットフォームのセキュリティーに関する不安な事実を発見した。The Registerの記事によると、同大学の研究グループは、パスワード保護されたサービスにユーザーが認証情報を入力した際に保存されるデジタルトークンを、ハッカーが収集して使用する危険があることを突き止めた。

この問題は、ClientLoginと呼ばれる認証プロトコルに関連しており、Android 2.3.3以前のバージョン(つまり殆どのAndroid機) に存在する。ユーザーがTwitter、Facebook、Google Calendar(ほんの少数例)などのサービスで認証情報を入力した後、APIが認証トークンを取り出すが、この時テキストが暗号化せずに送られる。「認証トークンは最大14日間、その後のサービスからの要求で使用されるため、攻撃者がこれを悪用してアカウントを不正利用する可能性がある」と記事はウルム大学の研究者の言葉を伝えている。

Googleは、ClientLoginプロトコル問題を解決するためのパッチを公開したが、このパッチはAndroid 2.3.4および3.0でしか動作しないため、約99%のAndroid機はこの修正版コードを利用できない。「われわれは、Googleのサービスに対して本当になりすまし攻撃が可能かどうかを知りたくて、分析を開始した」と同大学のメディア情報研究施設の研究者は語る、「一言で言って、可能であり、実に簡単である」。Googleはこの状況に関して未だに正式な発表を行っていない。

[原文へ]

(翻訳:Nob Takahashi)