3Androidモーションセンサーのセキュリティリスクと安全を確保する方法

電話やその他のデバイスを使用する際のセキュリティに注意を払っていても、気付かない可能性のあるリスクがあります。セキュリティ研究者は、悪意のある攻撃者があなたの個人データにアクセスすることを可能にする可能性のある新しい脅威を定期的に見つけています。

セキュリティの脆弱性の予期しない原因の1つは、スマートフォンがハードウェアに組み込まれているモーションセンサーです。これらのセンサーは、電話が動いていることを検出するように設計されており、多くの正当な用途があります。ただし、後で説明するように、誤用される可能性もあります。

1.モーションセンサーからオーディオデータを収集するアプリ

セキュリティ研究者は最近、Android携帯に恐ろしい脆弱性を示しました。 Spearphoneと呼ばれるこの攻撃は、スピーカーデータをキャプチャすることができます。その結果、携帯電話が近くにあるときに行った会話を盗聴する可能性があります。モーションセンサーの加速度計を利用して、デバイスの加速度と傾きまたは回転を測定します。 Googleマップなどの位置情報アプリは、加速度計を使用して位置を特定します。

Spearphoneは、このコンポーネントを一種のマイクに変えることで機能します。加速度計は電話のスピーカーと同じ平面に配置されているため、音声による残響を拾うことができます。誰かが自分の電話をスピーカーモードで使用したり、Googleアシスタントなどのスマートフォンアシスタントとやり取りしたりすると、加速度計は音声の残響をキャプチャできます。この後、攻撃者は記録を攻撃者のサーバーに転送できます。

arXivを介して、この欠陥を発見した研究者は、悪意のあるAndroidアプリを作成することで、この欠陥がどのように機能するかを証明しました。次に、LG G3、Samsung Galaxy S6、Samsung Galaxy Note 4などのデバイスでアプリをテストしました。このアプリは、加速度計を使用して音声を録音し、これらの録音を研究者が制御するサーバーに送信し、機械学習ソフトウェアを使用して録音を自動的に分析できます。 。

この方法で収集されたデータを使用して、研究者は90％のケースで話者の性別を特定し、80％の確率で話者を正しく特定することができました。

2.モーションセンサーデータを使用して非表示にするアプリ

マルウェアがモーションセンサーを利用できるもう1つの狡猾な方法は、その真の目的を隠すことです。トレンドマイクロが報告したように、セキュリティ研究者の別のグループが、これを実行している2つのAndroidアプリを発見しました。アプリ、Currency ConverterとBatterySaverMobiは、通貨を変換し、携帯電話のバッテリー寿命を監視するための便利なツールとして登場しました。しかし実際には、彼らはアヌビスと呼ばれる銀行のマルウェアを隠しました。これはクレジットカードのデータとオンラインバンキングのログインを盗みます。

これらのアプリは、モーションセンサーを利用して検出を回避しました。セキュリティ研究者がマルウェアを探すとき、彼らは通常、コンピューターでホストされている仮想オペレーティングシステムでテストを実行します。これは、モーションセンサーがテスト中にモーションを検出しないことを意味します。一方、実際のユーザーが携帯電話にアプリをインストールする場合、通常、携帯電話を持ち歩きます。明らかに、これは多くの動きを生成し、センサーがそれを検出します。

問題の悪意のあるアプリは、モーションセンサーを使用してモーションをチェックしました。動きが見つからなかった場合は、アプリがテストされており、悪意のあるコードがデプロイされていないと想定したため、セキュリティ研究者は疑わしいものを見つけることができませんでした。しかし、実際のユーザーがアプリの1つをインストールして動き始めると、アプリはマルウェアをオンにし、データを盗み始める可能性があります。

3.モーションセンサーデータを使用して指紋を取得するアプリ

聞いたことがあるかもしれないもう1つのセキュリティ問題は、ブラウザのフィンガープリントです。これは、コンピューターとブラウザーからのデータを使用して、ユーザーを識別および追跡する場合です。たとえば、インストールしたさまざまなブラウザ拡張機能や、コンピュータに使用しているフォントを確認することで機能します。このデータを使用して、あなたのユニークな写真を作成し、インターネット上であなたをフォローすることができます。

AndroidデバイスとiOSデバイスはどちらも、モーションセンサーを利用する同様の手法に対して脆弱です。 SensorIDと呼ばれる手法を使用すると、携帯電話のジャイロスコープと磁力計のセンサーデータを使用して指紋を作成できます。これらのセンサーは、ユーザーごとに独自の方法で調整されます。つまり、ユーザーを識別できます。アプリやウェブサイトにモーションセンサーへのアクセス許可がある場合は、インターネットを使用するときにフォローできます。

この手法は、VPNの使用や別のブラウザへのスワップなどのセキュリティ対策を講じている場合でも機能します。恐ろしいことに、それはあなたの電話で工場出荷時のリセットを実行した後も持続します。これは、モーションセンサーのキャリブレーションフィンガープリントが変更されないためです。研究者によると、これも高速攻撃であり、「指紋を生成するのに1秒もかからない」とのことです。

モーションセンサーデータを悪用するアプリから身を守る方法

これらの攻撃を防ぐことは困難です。ただし、スマートフォンのモーションセンサーを悪用するセキュリティリスクから身を守るために実行できる手順がいくつかあります。

新しいアプリをインストールする前に必要な権限を確認してください

まず、アプリの権限を付与するときは注意してください。 Playストアからアプリをインストールすると、携帯電話でさまざまな機能を使用するための許可を求められます。たとえば、カメラアプリは、スマートフォンのカメラにアクセスするための許可を求めます。

多くのユーザーは、実際にアプリを確認せずにアプリの権限に同意しています。しかし、これはセキュリティ上のリスクになる可能性があります。次回アプリをインストールするときは、アプリに必要な権限を確認してください。携帯電話のモーションセンサーの使用許可を求められた場合は、なぜそれが必要になるのかを考えてください。アプリがモーションセンサーにアクセスする正当な理由がない場合は、インストールしないでください。

電話のスピーカーを物理的に保護する

次に、モーションセンサーが会話の傍受に悪用されることを本当に心配している場合は、より直接的な行動を取ることができます。モーションセンサーが残響を拾うのを防ぐために、電話のスピーカーの周りに振動減衰材を追加することができます。

または、スピーカーを使用するときは、卓上などの硬い平らな面にスマートフォンを置いたままにしないでください。これにより、加速度計が音声情報を取得するのを防ぐことができます。

スマートフォンのOSを最新の状態に保つ

指紋から保護するための最善の策は、iOS 12.2などのオペレーティングシステムで問題が解決されているため、携帯電話のオペレーティングシステムが最新であることを確認することです。 Googleはこの問題を認識しており、Androidシステムを保護するためにAndroidシステムの更新に取り組んでいます。

Androidフォンはセキュリティリスクを引き起こす可能性があります

モーションセンサーを使用するなど、電話アプリがデータを盗む巧妙な方法に注意してください。これらの問題のいくつかは、個人が防御するのが難しいものです。そのため、Androidスマートフォンが最新で安全であることを常に確認する必要があります。