Android端末にカメラの映像を盗み見られるセキュリティホールが存在

By iamos

ノートPCなどに搭載されているウェブカメラをハックして盗撮に悪用される危険性が指摘されるなど、ネットワークに接続されたカメラによるプライバシー侵害が問題になっていますが、Android端末でも遠隔操作によりユーザーに気付かれることなくカメラに写っているものを盗み見たり、画像やその他のデータを送信できてしまうセキュリティホールが存在していたことが明らかにされました。

Snacks for your mind: Exploring limits of covert data collection on Android: apps can take photos with your phone without you knowing.
http://snacksforyourmind.blogspot.co.uk/2014/05/exploring-limits-of-covert-data.html

このセキュリティホールを発見したのは大学生のSzymon Sidorさん。学内のプロジェクトでコンピューターとネットワークのセキュリティを研究していた際に、偶然にもAndroidのカメラ機能に問題があることを発見し、自身のブログで公開することにしたとのこと。

Sidorさんが実際にその問題を再現した様子がYouTubeで公開されています。

Covert video capture on Android. - YouTube


Sidorさんが手に持つのはNexus 5。端末はスリープ状態にあるので、画面は真っ暗で何も表示されていませんが……

端末上にインストールされたアプリから送られてくるカメラデータがPCの画面上に表示されています。

モニタ上には写真だけでなく、Googleアカウント名やバッテリー残量、通信中のネットワークなどの端末の詳細が表示されている上に、現在の位置情報も表示され、こちらの行動が筒抜けになっています。

スリープを解除してみました。カメラが起動中なので通常ならカメラの画面が表示されるはずですが、ただのホーム画面が表示されており、ひと目見ただけではカメラが起動中であることをうかがい知ることができません。

起動中のアプリを表示させても、「No recent apps」と表示され、ここからもカメラの起動に気付くチャンスはなさそうです。

この間もずっと、PCの画面にはカメラがとらえた画像が送り続けられていました。

具体的なカメラ画像抜き取りアプリの内容はもちろん明らかにされていないのですが、Sidorさんは同様のアプリの被害にあわないためには以下のような対策が有効であるとブログで呼びかけています。

1．アプリのインストール時に表示される「アプリの権限」に注意する
メモ用アプリなど、カメラに関係なさそうなアプリにもかかわらずカメラ機能への権限を要求してくる場合は注意が必要です。

2．Googleアカウントを安全な状態に保つ
セキュリティを高めて他人による乗っ取りを防ぐために、2段階認証プロセスを使ったり、定期的にパスワードを更新するなどの対策が重要です。また、一般的によく使われているパスワードは使わないようにすることも対策の一つです

Adobeから流出したパスワードでよく使われていたものトップ100が公開される - GIGAZINE

3．不要なアプリは削除する

4．電池使用量やデータ使用量が想定外に多いアプリがあった場合、悪意のある動作を疑ってみることも重要。

5．バックグラウンドで動作しているアプリを確認し、怪しいアプリが動いていないかチェック
見慣れないものがあった場合は、アプリ名をGoogleで検索すると正体がわかることがあります。

6．疑いのあるアプリは完全に停止させる
「設定」→「アプリ」→「アプリ情報」に入って「強制停止」をタップすると、動作を完全に停止させることが可能です。

もはや「万能ツール」とも言えるスマートフォンですが、その便利さと引き替えにプライバシーが常に脅かされる状況になってきたといえる状況です。常におびえる必要はありませんが、いつも頭の片隅にセキュリティのことを置いておくことも必要といえるでしょう。Sidorさんはブログの最後でGoogleに対しても「もっとユーザープライバシー保護に力を注いで欲しい」と提言しています。