電子フロンティア財団(EFF)は、バージョン3.1以降の「Android」搭載スマートフォンでWi-Fi接続の履歴が漏えいしていることを発見した。デバイスの画面がオフのときにWi-Fi履歴が外部に漏れるという。
原因は、Linuxや一部のBSDでよく使用されるWi-Fiツール「wpa_supplicant」のバグにある。問題を発見したEFFはブログ記事で、ユーザーの位置情報の履歴をAndroidの挙動から特定されてしまうおそれがあると述べている。
「この位置情報の履歴とは、ユーザーのスマートフォンが過去に接続したワイヤレスネットワークの名称である。これらの情報から、ユーザーが訪れた場所を特定されることが多い。たとえば、家(「TomのWi-Fi」)や職場(「XYZ社オフィスのネット」)、教会や政党事務所(「州の党本部」)、小規模企業、旅行先(「テヘラン空港wifi」)などだ」(EFF)
Wi-FiのSSID履歴の漏えいは、デバイスがWi-Fiネットワークに接続しておらず、非公開のネットワークや過去に接続したWi-Fiネットワークへの接続を試みているときに発生することが判明した。
EFFが実施したテストでは、デバイスの履歴に保存されている最大15件のネットワーク情報が送信された。漏えいが確認されたデバイスには、Googleの「Nexus 4」と「Nexus 5」、HTCの「HTC One」、Motorolaの「Droid 3」以降、サムスンの「GALAXY Nexus」などがある(「CyanogenMod」で多数のデバイスをテストしたところ、同様のデータ漏えいが確認された)。漏えいしないことが確認されたデバイスは、サムスンの「GALAXY S3」と「GALAXY S4」、HTCの「HTC One Mini」、「iPhone 4」以降のiPhoneなど。
不具合は、Android 3.1に搭載されているPreferred Network Offload機能にある。この機能により、端末の画面がオンになっていないときでも、Wi-Fiに自動接続することが可能になる。EFFによると、 Wi-FiのSSID履歴の漏えいは、端末の画面がオンになっているときは起きないという。
この問題を知らされたGoogleは、wpa_supplicantにパッチを適用した。しかしEFFは、Androidが断片化している現状や、デバイスメーカーやキャリアとの交渉が必要になるアップデートプロセスを考えると、多くのAndroidユーザーがこの修正を受け取れない可能性もあると警告した。
EFFはプライバシーを気にするユーザーに、パッチがリリースされるまで、Wi-Fiの詳細設定にある「Keep Wi-Fi on during sleep(スリープ時にWi-Fi接続を維持)」オプションを「Never(使用しない)」に設定するよう推奨している。ただし、「Android 4.1.2」を搭載するMotorolaの「Droid 4」では、この対策を施しても漏えいが止まらないことが分かっている。
より徹底的な解決策は、手動でネットワークを削除するか、Wi-Fiを完全に無効にすることだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。