12/03/05 16:11:54.71 0
(>>1のつづき)
クルツさんらが行ったのは、実物で無改造のAndroid端末を使って、クルツさん演じる
「産業イベント中で忙しい投資者」が危険に遭遇するというデモ。クルツさんのもとに
「アプリをアップデートするためにファイルをダウンロードしろ」というテキストメッセージが
届き、メッセージ内のリンクをクリックしたところ、ブラウザがクラッシュして端末が再起動。
再起動が完了すると端末は以前と同じように動作しましたが、すでに攻撃者は通話内容と
テキストメッセージを転送するよう設定済みで、端末の場所も追跡可能な状態になっていました。
デモはAndroid2.2搭載の端末で行われましたが、ブラウザ内のバグを利用しているので、
同じブラウザを使用しているAndroid2.3でも起きえます。この2つのバージョンはAndroid
全体の90%を占めています。さらに重要なことに、同じくWebKitベースのブラウザはiPhoneや
iPad、BlackBerry、GoogleTVでも用いられている、とクルツさん。
攻撃者はWebKitの未改善バグ14点の情報を、ブラックマーケットで1400ドル(約11万4000円)を
支払えば入手可能。この情報をもとにした攻撃によって端末のroot権限を取得可能で、
リモートアクセスツールをインストール可能になります。「ロシアや中国ではRAT
(Remote Administration Tool)の開発が盛んで、我々が数週間で作れるものであれば、
彼らも同じように作ってくるだろう」と、CroudStrikeのCTO(最高技術責任者)、
Dmitri Alperovitchさんは語っています。
クルツさんは、今回のような攻撃を防ぐには、もっとOSが頻繁にアップデートされなければ
ならないと指摘しました。しかし、通信事業者と端末メーカー、OSメーカーが協力しなければ
できないためハードルは高く、多くの端末でアップデートはわずかにしか行われていません。
セキュリティ対策に不備があるのは困りものなのですが、利用者としても、スマートフォンの
情報は漏れる可能性が十分にあると最初から認識した上で、重要な情報をすべて1つの
端末にまとめないなどの利用の工夫が必要です。最後に自分の身を守るのは自分です。(以上)