Androidスマホを初期化してもメール、画像、連絡先などが復元される可能性が判明
By Siddartha Thota
格安SIMカードの登場で中古スマートフォンの需要が高まってきていますが、Androidスマートフォンを売る場合は端末を初期化しても情報流出のリスクが避けられないことが判明しました。ケンブリッジ大学の研究者によると、Androidスマートフォンは工場出荷状態にするファクトリーリセットを行ってもデータを復元することが可能で、これは暗号化によっても回避できないとのことです。
Security Analysis of Android Factory Resets.pdf
(PDFファイル)http://www.cl.cam.ac.uk/~rja14/Papers/fr_most15.pdf
Flawed Android factory reset leaves crypto and login keys ripe for picking | Ars Technica
http://arstechnica.com/security/2015/05/flawed-android-factory-reset-leaves-crypto-and-login-keys-ripe-for-picking/
ケンブリッジ大学のルーセント・サイモン博士とロス・アンダーソン博士は、Androidスマートフォンが初期化してもデータを復元できる可能性があることを論文で発表しました。2人の研究者は、Android 2.3からAndroid 4.3までを搭載した5メーカーから発売された21のスマートフォンについて、「ファクトリーリセットをした後、どれだけデータを復元できるか」を調査したところ、すべての端末から、復元前に保存していた連絡先・Facebook・画像・ムービー・SMS・Eメールなどを、断片的ではあるもののデータとして取り出すことに成功したと発表しています。
さらに80%の端末については、GmailやGoogleカレンダーの情報にアクセスするための資格証明であるマスタートークンについても復元できたと表明しています。つまり、ほとんどのAndroidスマートフォンではファクトリーリセットを実行した後でも個人情報を復元することができたというわけです。
さらに深刻なことは、Androidスマートフォンのデータ暗号化機能である「端末の暗号化」を使ってすべてのデータが暗号化されていたとしても、データが復元できてしまうという点。研究者らは、データが暗号化されていたとしても復号鍵を格納するファイル自体はファクトリーリセットによって消去されないため、暗号化された情報も時間をかけてアタックすればパスワードを突破することは可能であると指摘。なお、このパスワードクラックを防ぐためには、数字やアルファベットの大文字・小文字をランダムに組み合わせた11文字以上のパスワードを用いるという方法が比較的、有効そうですが、キー入力が不便なスマートフォンでは現実的ではなさそうです。
By Tsahi Levent-Levi
研究者らによるとデータの復元を予防する有効な方法は、ファクトリーリセットを実行した後で、ストレージ上のすべての未割り当て領域を上書きする目的でランダムバイトのデータを書き込むことだとのこと。ただし、このようなデータ上書きアプリを使う場合でさえも、Googleのマスタートークンをも上書き消去するためには、アプリをGoogle Playを介さずに手動でインストールする必要があるため、簡単な作業ではないそうです。
研究者らは「データ流出被害を防ぐ方法は、使い古したスマートフォンを売るのではなく手元に残しておくか、もしくは物理的に破壊することだ」と述べています。なお、今回の論文で実験されたAndroidスマートフォンはAndroid 4.4 KitKatより前のOSであるため、Android 4.4以降のスマートフォンについても同様のデータ流出リスクがあるかどうかは不明な点には注意が必要です。
・関連記事
Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布され全体の約86%は依然危険にさらされたまま - GIGAZINE
Android端末にカメラの映像を盗み見られるセキュリティホールが存在 - GIGAZINE
Androidアプリの10本に1本がマルウェアという調査結果をTrendMicroが発表 - GIGAZINE
AndroidにWi-Fi接続履歴を漏洩してしまう脆弱性があると判明、簡単な対処法もあり - GIGAZINE
GoogleがAndroid 5.0にてデフォルトで機能していた暗号化機能をひそかに撤回、その原因とは? - GIGAZINE
・関連コンテンツ