これは極めて緊急性の高い内容です。
ドイツのULM大学の研究チームは、多くのAndroidスマートフォンにおいてGoogleカレンダーやGoogle Contacts、Picasaへのアクセス時に、同期された個人情報を含むデータファイルを第三者に不正アクセス権を与える脆弱性がある事を発見したと伝えています。
Catching AuthTokens in the Wild The Insecurity of Google's ClientLogin Protocol
この脆弱性は、OS2.3.3以前のバージョンのAndroidスマートフォンにおいて上記アプリへのアクセスを行う際に、SSLを利用していていない事が原因のようです。
今回の調査結果はGoogleサービスに限定した物ですが、当然のことながらサードパーティー製アプリにも同様のリスクがあると言えます。またFacebookアカウントにおいても、同様の問題が発見されたという報告も出てきています。
Googleは最新OSバージョンで対応済みだが・・・
Googleはこの脆弱性を既に認識しており、最新OSバージョンとなる2.3.4では既に対応済みのようです。 しかしこのバージョンが利用出来るAndroidデバイスは限られています。TNWは、世界市場においておそらく1%にも満たないだろうと予想しています。
このセキュリティリスクを回避するにはOSを2.3.4までバージョンUPするか、アプリ開発者側で対応する必要があるようです。
しかしほとんどのAndroidスマートフォンには「最新OSにバージョンを上げたくても出来ない」という問題があり、即座に対応する事は現時点での対処は難しいと思われます。
ソース元には開発者向けの対策も講じてありますので、もし可能であればソースを添えて開発者にフィードバックしても良いかもしれません。
また研究チームは、Devil twin(なりすましAP)に対する注意を呼びかけています。パケットキャプチャーされるとすれば、まずこのルートが考えられるからです。加えて未使用時にはWi-FiをOFFにしておく事、自動同期設定を解除する事を追記しています。Verizonの広報担当も「信頼できるAP以外での通信は控えるべきだ」との声明を出しているようです。
国内の携帯キャリアやメーカーから情報を待っていては遅いのです。まずは取り得る自衛手段を。
