セキュリティ
パスワード(用語)

スマホのセンサーのデータからユーザーの暗証番号など秘密情報が分かる…イギリスの大学の研究より

次の記事

マーケッターとコンテンツクリエイターをつなげる ― Popular Paysが310万ドルを調達

イギリスのニューカッスル大学の研究者たちが発表したペーパーによれば、スマートフォンなどが内蔵しているセンサーには、プライバシーに関する厄介な問題がある。モバイルデバイスのハードウェアを調べるシステムが集めるセンサーデータを利用してチームは、最初の1回のトライで、4桁のPIN(暗証番号)を70%の精度で当てることができた。5回トライすると、100%の精度で当てられた。

ハードウェアがモニタされていることをユーザーに警告するアプリケーションもあるが、それは普遍的ではないし、また警告からは、実際にその情報が何回アクセスされたかは分からない。

この研究のリーダーDr. Maryam Mehrnezhadは本誌TechCrunchに、“ユーザーがインストールしたネイティブアプリやWebアプリケーションがセンサーにアクセスしても、事前に許可を求めることはほとんどない。それらのセンサーはマイクロフォンやカメラやGPSと同じくユーザーのアイデンティティに結びついているが、センサー自身が許可を求めることもない。またWebアプリケーションも、それがセンサーにアクセスしていることをユーザーに知らせない”。

しかし研究者たちによると、ハッカーはセンサーのデータからいろんなことが分かる。今ユーザーは座っているか、歩いているか、車や電車で移動中か、などすら分かる。そこで問題は、モバイルのブラウザーだ。悪質なサイトにアクセスすると、そのサイトの悪質なコードがユーザーのセンサーを読み、ユーザーがタブを開いたままにしておくと、何時間でも読み続ける。

Dr. Mehrnezhadによると、大学がモバイル業界の有名企業にその話をすると、彼らはその問題をすでに知っていたが、その対策は、(彼らの言い分では)言うは易く行うは難しの典型だそうだ。

彼女は曰く、“すべてのモバイル企業がこの問題に気づいている。私たちの今回の研究結果も、彼らに伝えた。それ以降、彼らと連絡しながら対策を検討している。まだ、どちらにとってもそれは、進行中の研究だ。でも業界のコミュニティと連繋して、ベストソリューションを編み出したい”。

またWebに関しても、World Wide Web Consortium(W3C)やMozillaなどWeb関連の大きな団体と今では接触している。でも、仕事はまだこれからだ。とくに、プライバシーとユーザビリティの両立が難しい。モバイル企業はとくに、センサーをデバイスに搭載したそもそもの目的が阻害されることを嫌がる。そこにも、センサーが提供するユーザー価値と、プライバシーやセキュリティの保護というユーザー価値のあいだで、矛盾がある。

Mehrnezhadによると、今後はウェアラブルやスマートホーム製品など、センサーを内蔵していてしかもインターネットに接続されているデバイスが至るところに存在するようになり、プライバシーとセキュリティのリスクが増大する。今チームは、PINをときどき変える、今使ってないアプリやWebアプリケーションは確実に閉じる(終わらせる)、などの対策を勧めている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))