Androidモーションセンサーによる3つのセキュリティリスクと安全を確保する方法

セキュリティ上の欠陥の驚くべき発見は、ハードウェアに組み込まれたスマートフォンのモーションセンサーです。

電話などのセキュリティを十分に気を付けていても、気づかないリスクがあります。セキュリティ研究者は、悪意のあるエージェントがユーザーの個人データにアクセスすることを可能にする新しい脅威を定期的に発見します。

ハードウェアに組み込まれたスマートフォンのモーションセンサーからのセキュリティホールの予期しない発見。これらのセンサーは、電話が動いていて使用中であることを検出するように設計されています。しかし、それらは誤用される可能性があります。

アプリはモーションセンサーから音を収集します

セキュリティ研究者は最近、Androidスマートフォンに恐ろしい欠陥を示しました。この攻撃はスピアフォンと呼ばれ、スピーカーからデータを収集する可能性があります。したがって、電話を近くに置いたときに会話を盗聴することができます。加速度センサーのモーションセンサーを使用して、デバイスの加速度、傾き、または回転を測定します。Googleマップなどの位置情報アプリは、加速度計を使用して現在地を特定します。

Spearphoneは、このコンポーネントをマイクに変えることで機能します。加速度計は電話のスピーカーと同じ平面に配置されており、スピーチによって生成されたエコーをキャプチャできます。誰かがスピーカーアクティベーションモードでスマートフォンを使用したり、Googleアシスタントなどのスマートフォンアシスタントとやり取りしたりすると、加速度計は音声のエコーを記録できます。その後、攻撃者はログをサーバーに転送できます。

研究者たちは、arXivを通じて、悪意のあるAndroidアプリケーションを作成することで、その仕組みを示す欠陥を発見しました。次に、LG G3、Samsung Galaxy S6、Samsung Galaxy Note 4などのデバイスでアプリをテストしました。加速度計を使用して音声を記録したり、音声を送信したりできます。研究者が制御するサーバー。次に、機械学習ソフトウェアによってレコードを自動的に分析します。

この方法で収集されたデータを使用して、研究者は90％のケースで話者の性別を特定し、80％の時間で話者を正確に特定することができました。

アプリはモーションセンサーデータを使用して、検出されないようにします

トレンドマイクロのレポートによると、さまざまなセキュリティ研究者のグループがこれを行う2つのAndroidアプリを発見しました。これらはCurrency ConverterとBatterySaverMobiであり、通貨を変換して携帯電話のバッテリーを追跡するための便利なツールとして表示されます。しかし実際には、クレジットカードデータとオンラインバンキングの資格情報を盗むAnubisと呼ばれるバンキングマルウェアを隠しています。

これらのアプリケーションは、モーションセンサーを利用して検出を回避しました。セキュリティ研究者はマルウェアを検索する際、コンピューターに保存されている仮想オペレーティングシステムでテストを実行することがよくあります。これは、テスト中にモーションセンサーが動きを感知しないことを意味しますが、ユーザーが携帯電話にアプリケーションをインストールするとき、通常は携帯電話を携帯します。明らかに、これはセンサーが受け取る多くの動きを作成します。

悪意のあるアプリケーションは、モーションセンサーを使用して振動をチェックします。動きが検出されない場合、彼らはアプリケーションがテストされていることを理解し、悪意のあるコードを展開しません。したがって、セキュリティ研究者は疑わしいものを見つけることはありません。しかし、ユーザーがアプリケーションと上記のいずれかをインストールして動き回ると、マルウェアがオンになり、データを盗み始める可能性があります。

アプリはモーションセンサーデータを使用して指紋を取得します

あなたがおそらく聞いたもう一つのセキュリティ問題は、ブラウザのフィンガープリントです。それはあなたのコンピュータとブラウザからのデータがあなた自身を識別して追跡するために使用されるときです。たとえば、インストールされているさまざまなブラウザー拡張機能やコンピューターで使用しているフォントを表示することで機能する場合があります。このデータを使用して、ユーザーのユニークな画像を作成し、インターネットでユーザーを追跡できます。

iOSデバイスとAndroidデバイスの両方が、モーションセンサーの使用によるセキュリティリスクに直面する可能性があります。SensorIDと呼ばれる手法を使用して、携帯電話からジャイロスコープと磁力計のセンサーデータを使用して指紋を作成できます。これらのセンサーは、ユーザーごとに独自の方法で調整されます。つまり、センサーを使用してユーザーを識別できます。アプリまたはWebサイトがユーザーのモーションセンサーにアクセスできる場合、インターネットを使用するタイミングを追跡できます。

この手法は、VPNの使用や別のブラウザの使用など、セキュリティ対策を講じている場合でも機能します。さらに恐ろしいことに、ユーザーが電話で出荷時設定へのリセットを実行した後も存在します。理由は、モーションセンサーのキャリブレーションフィンガープリントが変更されないためです。研究者によると、これは指紋を作成するのに1秒もかからない高速な攻撃です。

モーションセンサーデータを悪用するアプリケーションから身を守る方法

これらの攻撃は対抗するのが非常に困難です。ただし、スマートフォンのモーションセンサーを悪用することによるセキュリティリスクから身を守るために実行できる手順がいくつかあります。

新しいアプリケーションをインストールする前に、必要な権限を確認してください

まず、アプリケーションに許可を与えるときは注意してください。Google Playから新しいアプリをインストールすると、電話でさまざまな機能を使用する許可をユーザーに求めます。たとえば、カメラアプリケーションはモバイルカメラへのアクセスを必要とします。

多くのユーザーは、気付くことなく許可を許可することに同意しており、これはセキュリティリスクの非常に高いリスクにあります。次にスマートフォンに新しいアプリやゲームをインストールするときに、必要な権限を確認します。スマートフォンのモーションセンサーを使用するための許可が必要な場合は、その許可が何のために必要かを自問してください。アプリケーションがアクセスする必要がある正当な理由がない場合は、インストールしないでください。

電話のスピーカーを保護する

次に、モーションセンサーが悪用されて会話が盗聴されるのを本当に心配している場合、ユーザーは電話のスピーカーの周りに防振材を追加するなど、多くの直接的なアクションを実行できます。モーションセンサーがエコーをキャプチャするのを防ぎます。また、スピーカーを使用するときは、電話をテーブルのように平らで硬い面に置かないでください。これにより、加速度計がサウンド情報を取得できなくなります。

電話のオペレーティングシステムを常に更新する

この問題はiOS 12.2などのオペレーティングシステムで解決されているため、指紋のセキュリティリスクから保護するには、電話のオペレーティングシステムを常に最新の状態に保つことをお勧めします。Googleもこの問題を認識しており、ユーザーを保護するためにAndroidシステムの更新に取り組んでいます。

スマートフォンをインテリジェントに使用して、常に警戒し、情報を保護してください。この記事があなたの電話をより安全にそしてより安全に使用するのに役立つことを願っています！