ここから本文です

スマートフォンのセンサーからユーザーのPINコードを盗む方法

4/24(月) 10:51配信

THE ZERO/ONE

英ニューキャッスル大学の研究チームが、「スマートフォンのモーションセンサーを利用し、ユーザーの入力したPINコードを割り出すことができるJavaScriptの攻撃」を発表した。この攻撃はMaryam Mehrnezhad博士率いる研究チームが示したもので、1度の入力読み取りテストで70%以上、3度の入力読み取りテストでは90%以上のPINコードを見破ることに成功している。

ウェブページを見せるだけの攻撃

ここで注目すべき点は、スマートフォンに搭載された「センサー」にアクセスし、ユーザーの入力情報を盗み見したことだろう。実際、この研究結果を報じたニュースには「センサー」という言葉にフォーカスした見出しが目立っている。しかし、もうひとつ特筆するべきなのは「悪意あるアプリをダウンロードさせる必要がないまま」センサーへのアクセスを試みる攻撃だった、という部分だ。

つまり攻撃者は、センサーから得られた情報を読み取るスパイウェアを攻撃先の端末に送り、それをインストールさせることで情報を盗み出すのではない。この攻撃は「ブラウザーに表示された、悪意あるウェブページ(あるいは悪意ある広告などを含んだページ)でJavaScriptを利用して」行われる。
Mehrnezhad博士のチームは、すでに研究結果をChrome、Firefox、Safari、Operaのベンダーに報告している。しかし、これらの大手ブラウザーでは、もともと攻撃できる条件が限定されていた。さらにAppleとMozillaは、この問題の修復に取り組んだアップデートを配信済みである。したがって、これらの大手ブラウザーでは万全な対策が打たれている……とまでは言えないのだが、少なくともユーザーがセキュリティの更新を怠っていないかぎり、攻撃を受ける危険性は低くなっている。

それでもMehrnezhad博士のチームによる研究は、スマートフォンをはじめとした様々なデバイスの「センサーのセキュリティ」における大きな問題を提起するものとなった。

1/4ページ

最終更新:4/24(月) 10:51
THE ZERO/ONE