2015年7月27日に公になった、Androidスマートフォンの脆弱性、StageFright脆弱性というものがあります。(参考記事:『Androidに深刻な問題—Stagefright』)

とりあえず対策されたシステムに置き換えたので大丈夫のはずですが、スマートフォンのセキュリティは必要性に比べて対策が進んでいないと、どこかで指摘されていたような気がします。

今回のことは置いておいて、これからも多くの問題が出てくることでしょう。自分のスマートフォンを見てみて、載っている個人情報、その他について見直してみました。

電話番号

スマホも電話の一種ですので、自分の電話番号や知り合い、職場の電話番号などが載っています。

他人の個人情報

スマートフォンの連絡先をちらちらと見ていくと、名前、生年月日、電話番号、誕生日、仕事先、メールアドレスなど、いろいろな情報が載っています。漏洩させたくはないですね・・・。スマートフォン自体に保存したものと、Googleアカウントの連絡先が同期されてスマートフォンに送られているものに分かれます。

スマートフォン上で標準で暗号化されているかはわかりません。

写真・録画・録音

スマートフォンで撮影したり、録画・録音したデータが集まっています。スマートフォンの暗号化をしていなければ、パソコンにつないだり、分解すれば見られます。暗号化してある場合は、暗号化が破られなければ大丈夫ですが、物理的に盗まれた場合には、時間の問題です。

Gmailや電子メール

何日分のメールが保存されているかは設定によると思いますが、しばらく分のメールなどが保存されています。

LINEなどメッセージアプリやSMS/MMS

やり取りや連絡先などがスマホに入っています。SMS・MMS(電話番号でやり取りするショートメール、キャリアメールなど)は何もしていなければ、全部保存されているかもしれません。

ブラウザ

ブラウジングの履歴やブックマーク、Cookieなどのログイン情報に加えて、パスワードも保存されています。

Chrome

Googleアカウントと連動していて、連携を解除不可能です。(解除はできますが、パスワードなしで再度連携を行うことができました。)

銀行やクレジットカードのアプリ

銀行のネットバンキング機能やクレジットカードの管理、為替証拠金取引(FX)や株式投資のアプリ、今は入っていませんが、日本では使っていました・・・

おサイフケータイ(EDYやSUICA、VISATOUCHなど・・)

これも、日本にいたころは入れていました。

Twitter、FacebookなどのSNSアカウント

アカウント名や、投稿機能などが特に追加認証なしで見られます。

 

財布を落とすよりヤバイ。

見直してみると、落としたり盗まれたら困るものばかりです。やばいです。確かに、財布を落とすよりスマホを落とすほうが怖い、といわれるのが良く分かります。

今回明らかになった脆弱性が悪用されたという情報は今のところ見かけませんが、8月初旬のカンファレンスでもう少し詳細が一般にもわかるのではないかと思います。CNNニュースを見直していたら、StageFright関係の記事を見つけました。Androidをこき下ろしてiPhoneアゲな記事ではありますが、一理あります。

書き出しが、

Android phones can get infected by merely receiving a picture via text message, according to research published Monday.

This is likely the biggest smartphone flaw ever discovered. It affects an estimated 950 million phones worldwide -- about 95% of the Androids in use today.


出典:『Android phones can be hacked with a simple text』(CNN.com)

と、スマートフォン史上最悪のようだと書いています。今回のStageFright脆弱性に対して取れそうな対策は前の記事『Androidに深刻な問題—Stagefright』で書いていますが、今後も似たような問題が出てくるでしょう。

今回の問題の場合、スマートフォンにパスワードをかけてあっても、ストレージの暗号化をしてあっても、無駄だと思われます。アンチウイルス系のアプリを入れていてもほとんど無意味です。日本年金機構などの情報流出問題のときにも議論されていたことですが、セキュリティが破られたときにどうするかをスマートフォンでも考えておいたほうがよさそうです。

 

Android上のChrome

Android上で動くChromeは、PCのアカウントと同期してくれる機能があって非常に便利です。Android4.0(Ice Cream Sandwich:ICS)以降のAndroidでインストールできます。今使っているAndroid5.0(Lollipop)では、これまでの標準ブラウザを置き換えてプリインストールされています。

ここで問題になるのが、

  • システムに組み込まれているためか、同期の設定をするときにパスワードが求められない
  • 二段階認証は無意味(その携帯に認証メールが送られてしまうので)

という2点です。Android上でGmailを読んでいるアカウントなら、Chrome上で保存されたパスワード、閲覧情報、ブックマークを読めてしまいます。さらに、Chromeが入っていないAndroid 5.0.2、Android 5.1.1に後からChromeをインストールしてみたところ、同じように動作しました。

Chrome用Googleアカウント

なので、少なくとも僕の環境では、Google Chromeでログインしても問題ない情報しかAndroidに接続したGoogleアカウント上に保存させない、ようにするしかありません。とりあえず取った対策は、Googleアカウントをもう一つ余分に作って、デスクトップ版のChromeでだけ、ブックマークとパスワードを扱うようにしました。

たとえば、

  • デスクトップ
    • アメリカ田舎留学録gmail.com(Chromeにログイン)
    • アメリカ留学gmail.com(普段使うGmailアドレス)
    • 田舎留学gmail.com(サブGmailアドレス)
  • Androidスマートフォン
    • アメリカ留学gmail.com(普段使うGmailアドレス)
    • 田舎留学gmail.com(サブGmailアドレス)

のように分けて、スマートフォン上からはChromeのパスワードが保存されているアカウントが見えないようにしました。Chrome用のアカウントを作成するときの、予備のアカウントにAndroidで使っているアドレスが指定されていると、パスワードを回復されてしまうかもしれません。(今気づいて作り直しました。そしてGmailアカウントがどんどん増殖していきます)

限界

まあ、よく考えるとスマートフォンで受け取っているメインアカウントでいろいろなサイトに登録しているので、すぐ見つかってしまいます。銀行・証券会社など、ハッキングを受けたらものすごく困るアカウントの情報につながるメールを削除したいです。が、パスワードを忘れたときの再設定は携帯電話に電話をかけてもらって応答、とかなので正直厳しいです。

そういえば、スマートフォンで一切メインで使っているメールを使わない、という方法も、有りですが、スマートフォンの意味がないですね。

日本に帰った暁には、またガラケーとの2台持ちに戻ろうと思います。

November 2017
Mo Tu We Th Fr Sa Su
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 1 2 3

ログイン(DISQUS/Facebook/Twitter/Google)なしでもコメントでき、その場合管理人の承認後表示されます。