セキュリティ

モバイル機器のセキュリティに関する基本的な疑問に研究者が答えを示す


「モバイル機器のどういったセキュリティ対策が、ユーザーデータへの不正アクセスを有効に防いでいるのか」「現代のモバイル機器はどういった不正アクセスを受けているのか」「不正アクセスを防ぐため、モバイル機器にはどういう改善点があるか」という、モバイル機器のセキュリティについての基本的な疑問について、ジョンズ・ホプキンス大学の研究チームがiOSとAndroidを徹底的に調べて答えを示しています。

Data Security on Mobile Devices
https://securephones.io/


Data Security on Mobile Devices: Current State of the Art, Open Problems, and Proposed Solutions
https://securephones.io/main.html

◆iOSの事例
研究チームによると、iOSは強力な暗号化が行われており、セキュリティとプライバシー制御も厳重に行われているものの、ツールが十分に活用されていないためにカバーする範囲が不十分だったとのこと。


具体的には「電源が入っている端末では暗号化の利点は限られている」と指摘されています。これは、最初から組み込まれているアプリケーションが保持している驚くべき量の機密データが「最初のロック解除後に利用可能」という保護クラスで保護されているため。この保護クラスは、端末がロックされた状態だとメモリから復号キーを削除しないため、「ロックされているが電源は入っている」という状態の端末から、Appleの組み込みアプリの機密データを抜き取ることが可能です。

クラウドを利用したバックアップやサービスも弱点の1つ。iCloud利用時にAppleのサーバーに送信される大量のユーザーデータは、iCloudのアカウントに不正アクセス可能な状態の攻撃者や、召喚状を持つ法執行機関によってリモートアクセスされる可能性があります。研究チームは「驚くべきことに、システムの脆弱(ぜいじゃく)性を増加させるようなiCloudの機能も見つかりました」と述べています。


クラウドに関して、研究チームは「エンドツーエンド暗号化」の限界も指摘しています。一部のエンドツーエンド暗号化されたサービスは、iCloudのバックアップサービスと組み合わせて使用すると、機密性が損なわれることがわかったとのこと。また、Appleのドキュメントやユーザー設定の中で「暗号化」と「エンドツーエンド暗号化」があいまいで、Appleが利用可能なデータがどれなのかを理解するのが難しくなっているそうです。

また、「ハードウェアベース鍵管理機能を含む安全なコプロセッサ」であるはずのSecure Enclaveに脆弱性が存在しているのも問題点の1つ。この脆弱性はパッチによる修復が不可能であることが指摘されています。

Apple端末のセキュリティを担う「Secure Enclave」チップにパッチ修復不可能な脆弱性が見つかる - GIGAZINE


◆Androidの事例
Android端末の場合、フラッグシップモデルではかなり強力な保護機能が搭載されていますが、Googleと端末メーカーとの間のつながりが薄く、OSのアップデートが反映されるのが遅かったり、ソフトウェアのアーキテクチャにおいて考慮すべき点が多かったりして、セキュリティやプライバシーのコントロールが支離滅裂で断片化しているとのこと。


iOSで指摘された「電源が入っている端末では暗号化の利点は限られている」というのは、Android端末も同様。Androidの暗号化はiOSよりも保護段階が少なく、復号キーが「最初のロック解除」後、常に保持されるため、ユーザーデータは法執行機関によるアクセスを受けやすい状態にあります。

Androidには、Googleのデータセンターにある物理ハードウェアに基づくエンドツーエンド暗号化されたバックアップの機能が存在します。しかし、エンドツーエンド暗号化されたバックアップを行うには、アプリ開発者がオプトインする必要があります。

さまざまな企業や組織が開発したシステムによって構成されているという点もAndroidの弱みで、コンポーネントの開発が一元化されていないため、Android全体のセキュリティを統合するには調整が必要となりますが、そういった取り組みは不足しているか、あるいは存在していないと指摘されています。

また、エンドツーエンド暗号化が限定的であることも挙げられています。デフォルトでエンドツーエンド暗号化がなされているのはサードパーティー製メッセージングアプリのみで、多くのネイティブなAndroidアプリはエンドツーエンド暗号化を提供していません。

加えて、AndroidはGoogleドライブやGmailなどのGoogleサービスと緊密に統合されており、サービスを利用するにあたってユーザーは多くのデータをGoogleへと送っていますが、前述のように、エンドツーエンド暗号化が徹底されていないため、知識のある攻撃者や召喚権限を持つ法執行機関は情報を盗み出せる状態にあります。

研究チームによると、iOS、Androidともにクラウドとのデータ同期が増えることが、セキュリティの悪化要因になっているとのことです。

この記事のタイトルとURLをコピーする

・関連記事
iPhoneのiMessageにひそむ「ゼロクリックの脆弱性」でジャーナリストが政府からハッキングを受ける - GIGAZINE

中国製のAndroidアプリが重要なユーザー情報を収集していると研究者が報告、マルウェアによる悪用の危険性も - GIGAZINE

Androidで工場出荷時の状態に戻しても撃退不可なマルウェア「xHelper」が発見される - GIGAZINE

2年以上悪用されてきたiPhoneやAndroidを乗っ取れる脆弱性「Simjacker」が発見される - GIGAZINE

2500万台のAndroid端末が感染しているマルウェア「Agent Smith」見つかる - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by logc_nt

You can read the machine translated English article here.