「Android 3.1」以降でWi-Fi接続履歴が漏えいする不具合--EFFが発見

Chris Duckett (TechRepublic) 翻訳校正: 川村インターナショナル

2014-07-07 15:06

 電子フロンティア財団(EFF)は、バージョン3.1以降の「Android」搭載スマートフォンでWi-Fi接続の履歴が漏えいしていることを発見した。デバイスの画面がオフのときにWi-Fi履歴が外部に漏れるという。

 原因は、Linuxや一部のBSDでよく使用されるWi-Fiツール「wpa_supplicant」のバグにある。問題を発見したEFFはブログ記事で、ユーザーの位置情報の履歴をAndroidの挙動から特定されてしまうおそれがあると述べている。

 「この位置情報の履歴とは、ユーザーのスマートフォンが過去に接続したワイヤレスネットワークの名称である。これらの情報から、ユーザーが訪れた場所を特定されることが多い。たとえば、家(「TomのWi-Fi」)や職場(「XYZ社オフィスのネット」)、教会や政党事務所(「州の党本部」)、小規模企業、旅行先(「テヘラン空港wifi」)などだ」(EFF)

 Wi-FiのSSID履歴の漏えいは、デバイスがWi-Fiネットワークに接続しておらず、非公開のネットワークや過去に接続したWi-Fiネットワークへの接続を試みているときに発生することが判明した。

 EFFが実施したテストでは、デバイスの履歴に保存されている最大15件のネットワーク情報が送信された。漏えいが確認されたデバイスには、Googleの「Nexus 4」と「Nexus 5」、HTCの「HTC One」、Motorolaの「Droid 3」以降、サムスンの「GALAXY Nexus」などがある(「CyanogenMod」で多数のデバイスをテストしたところ、同様のデータ漏えいが確認された)。漏えいしないことが確認されたデバイスは、サムスンの「GALAXY S3」と「GALAXY S4」、HTCの「HTC One Mini」、「iPhone 4」以降のiPhoneなど。

 不具合は、Android 3.1に搭載されているPreferred Network Offload機能にある。この機能により、端末の画面がオンになっていないときでも、Wi-Fiに自動接続することが可能になる。EFFによると、 Wi-FiのSSID履歴の漏えいは、端末の画面がオンになっているときは起きないという。

 この問題を知らされたGoogleは、wpa_supplicantにパッチを適用した。しかしEFFは、Androidが断片化している現状や、デバイスメーカーやキャリアとの交渉が必要になるアップデートプロセスを考えると、多くのAndroidユーザーがこの修正を受け取れない可能性もあると警告した。

 EFFはプライバシーを気にするユーザーに、パッチがリリースされるまで、Wi-Fiの詳細設定にある「Keep Wi-Fi on during sleep(スリープ時にWi-Fi接続を維持)」オプションを「Never(使用しない)」に設定するよう推奨している。ただし、「Android 4.1.2」を搭載するMotorolaの「Droid 4」では、この対策を施しても漏えいが止まらないことが分かっている。

 より徹底的な解決策は、手動でネットワークを削除するか、Wi-Fiを完全に無効にすることだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  3. セキュリティ

    経営陣に伝わりづらい「EDR」の必要性、従来型EDRの運用課題を解決するヒントを解説

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. ビジネスアプリケーション

    中小企業のDX奮闘記--都市伝説に騙されずに業務改善を実現したAI活用成功譚

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]