世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップし、紹介する。今回の1本目は、個人情報を平文で送信してしまうモバイルアプリについて。米マカフィーが、ブログで注意を呼びかけている。
マカフィーが実験用のアカウントを使って米コストコのアプリケーションをテストし、トラフィック監視ツール「Fiddler」で通信を確認したところ、ログイン要求がプレーンなHTTPで送信されていた。つまり、公共無線ネットワークを使ってスマートフォンからオンラインショッピングをすることにいっそう慎重になる必要がある。
プレーンなHTTPで送られるログイン情報
ほかにも同様のリスクを抱えたアプリエーションはないか詳しく調査したところ、驚いたことにそれは至るところで見つかったという。例えば中国で人気の「Weibo(微博)」。中国版Twitterと呼ばれ、メッセージを投稿したり、友達とチャットしたりできる。
Weiboのメッセージ画面
Weiboでメッセージが投稿されると、Weiboのバックエンドに送信されるデータは、ネットワーク分析ソフト「Wireshark」でトラフィックをキャプチャして読むことができる。
Wiresharkで確認したデータ送信
攻撃者はクッキーを使って、中間者攻撃を仕掛けることによりメッセージを盗聴するほか、書き換えることも可能だ。
マカフィーはWeiboのチャット機能についても確認したところ、やはりWiresharkでテキストをはっきり確認できた。暗号化はされておらず、「攻撃して下さいとお願いしているようなもので、プライバシーなどまったくない」とマカフィーは批判している。
4億人以上がインストールしている中国語入力ソフト「Sogou(捜狗)」には、さらに予想していなかったプライバシーンの問題が見つかった。
Sogouのユーザーインタフェース
Sogouをインストールしている「Windows 7」搭載パソコンを「iPod」とUSB接続し、 Fiddlerで確認したところ、Sogouがマシンに接続されているデバイスの情報を収集していることが分かった。接続デバイスの種類、OSバージョン、シリアル番号などを取得している。
Androidスマートフォンを接続したところ、Sogouが同様のデータを取得していることがFiddlerで確認された。
