あなたの携帯電話は安全ですか?

数日前に突如現れた「スーパー携帯ウイルス」に恐怖を感じた人も多いだろう。携帯電話がいわゆる「スーパー携帯電話ウイルス」に不可解に感染したのではないかと恐れ、怖がった人もいるかもしれない。少数の人々が恐怖を感じたのは、「スーパー携帯電話ウイルス」が実際には「超シンプルな携帯電話ウイルス」であり、技術的な内容が非常に低く、少し注意するだけで完全に回避できることに驚いたからです。

このイナゴマルウェア（ウイルス）の作成者は、Android ソフトウェアを学習しているばかりの学生であると報告されています。彼はこのマルウェアを練習目的で使用しただけであり、それが広く拡散して影響を与えるとは予想していませんでした。このマルウェアをインストールするには、ユーザーがダウンロード用のリンクをクリックし、連絡先の読み取りとテキストメッセージの送信のオプションを承認し、インストールを確認する必要があるため、セキュリティ意識が少しある携帯電話ユーザーであればこれを回避できます。これが反映している問題は、携帯電話のウイルスが強力であるということではなく、コンピュータのセキュリティと比較して、ほとんどのユーザーが携帯電話のセキュリティ問題について明確な認識を持っていないということです。

過去のニュース報道を振り返ると、「スーパー携帯電話ウイルス」の発生は携帯電話のセキュリティ問題における小さな波紋に過ぎず、私たちが直面している携帯電話のセキュリティ問題はそれほど楽観的ではないようです。

Androidのオープン性とセキュリティ

携帯電話システムの場合、セキュリティとオープン性は相容れない矛盾であるように思われます。ダウンロードリンクをクリックした後にダウンロードされるファイルのサフィックスはapkであるためです。そのため、今回発生した「スーパーモバイルウイルス」は、Androidスマートフォンの範囲内でのみ拡散する可能性があります。

インターネットセキュリティ企業F-secureが発表したモバイルインターネットセキュリティレポートでは、Androidプラットフォームが比較的大きなセキュリティ問題に直面していると指摘されている。 2012 年、マルウェアの 79% が Android に寄生しており、これは 2011 年より 12.3% 増加しています。比較すると、iOS プラットフォーム上のマルウェアは全体のわずか 0.7% を占めています。 2年が経過し、Androidの市場シェアが拡大したにもかかわらず、Androidプラットフォーム上のセキュリティ問題は改善されていません。

パブリック・インテリジェンスは、2013年に米国国土安全保障省と司法省の共同声明を発表し、F-secureと同様のデータを示し、2012年のマルウェア（トロイの木馬）の79%がAndroidから来たのに対し、iOSはわずか0.7%だったと示しました。 Symbian からのトロイの木馬の割合は 19% ですが、BlackBerry と Windows Mobile からのモバイル トロイの木馬の割合は同じで、どちらも 0.3% です。

Android 自体がシステムセキュリティの問題を重視していないわけではありません。 2012 年、Android 4.1 は ASLR テクノロジーを完全にサポートした最初のバージョンでした。 ASLR（アドレス空間レイアウトランダム化）技術は、バッファオーバーフローに対するセキュリティ保護技術です。スタックや共有ライブラリのマッピングなどの線形領域のレイアウトをランダム化することで、攻撃者が宛先アドレスを予測する難易度を高め、攻撃者が攻撃コードを見つけるのを防ぎ、オーバーフロー攻撃を防ぐという目的を達成します。これにより、ハッカーがメモリの脆弱性を悪用することが非常に困難になります。

振り返ってみると、Android スマートフォンのセキュリティ問題に関するニュースがかなりありました。 Google Play は、一般的に、あまり知られていない他のソフトウェア マーケットよりも安全であると考えられていますが、この公式ソフトウェア ストアにもマルウェアが含まれている可能性があります。

Ars Technica のレポートによると、2012 年から過去を振り返ると、研究者らは Google Play に侵入するマルウェアが増加していることを発見した。興味深いのは、これらのマルウェアが公式マーケットに長期間存在し、大量にダウンロードされた後でも検出されないままであることです。たとえば、ユーザーに特定の番号に電話させることで高額な料金を搾取する Android.Dropdialer というトロイの木馬プログラムは、Google Play に登場してからわずか数週間後に発見されました。 「スーパーマリオブラザーズ」や「GTA 3 モスクワシティ」が悪質なプログラムとしてパッケージ化され、10万回ダウンロードされました。

Google は Android の深刻なセキュリティ問題に対処する力がないように思われます。フランスのAndroidサイトFrAndroidからAndroidマルウェアについて質問されたとき、Google副社長兼Androidディレクターのサンダー・ピチャイ氏は次のように答えた。

「Android がセキュリティ目的で使用されていることを保証するものではありません。Android は主に、より多くの自由を提供するために使用されています。Android トロイの木馬の 90% について語る人は、Android が世界で最も人気のあるオペレーティング システムであるという事実を認識する必要があります。私がマルウェアを作成する会社であれば、Android もターゲットにすると思います。」

セキュリティ上の理由から、Chrome ではプラグインの入り口が閉鎖されており、ストアからのみインストールできます。閉鎖的になったと非難されている。現時点では、セキュリティとオープン性を両立させることは確かに困難です。さらに、セキュリティの問題はシステムだけの責任ではありません。ユーザーやサードパーティのセキュリティ企業も、この脅威から逃れることはできません。

iOSは絶対に安全ですか?

前述の通り、2012年におけるiOSからのマルウェアの量は全体のわずか0.7%であり、当時のiOSの市場シェアと比較すると良好な結果でした。しかし、これは iOS が絶対的に安全ではなく、相対的に安全であるということを意味します。実際、iOS のセキュリティ脆弱性に関するニュース報道は数多くあります。

フォーブスによると、同じく2012年にカスペルスキー社のウイルス対策研究者マスレニコフ氏がApp Stroeで「Find and Call」というアプリケーションを発見した。表面的には他の通話アプリと同じ機能を持っているように見えましたが、調査の結果、この「Find and Call」アプリもユーザーの個人情報を無断で収集し、その情報をリモートサーバーにアップロードしていることが判明しました。最後に、サーバーは、アプリケーションのダウンロード リンクを含むテキスト メッセージをユーザーの連絡先リスト上の全員に送信します。この原理は「スーパーフォンウイルス」の原理とまったく同じです。

厳格な審査で知られる App Store で発見された最初のマルウェアであることは特筆に値します。 iOS プラットフォームでのマルウェア事件や、Mac OS X での度重なるウイルス問題は、Apple が積極的に推進してきたセキュリティ メカニズムに多くの課題をもたらし、「ウイルスフリー」という Apple の評判は徐々に過去のものとなっていった。

昨年のUsenixセキュリティ会議で、ジョージア工科大学の科学者らが研究成果であるアメーバのようなコードを披露した。このコードは、App Store アプリケーションを通じてテストされている場合は無害ですが、iOS マシンにインストールされると、小さな羊からジャッカルに変身します。さらに重要なのは、このようにして、彼らは悪意のあるアプリを App Store にリリースすることに成功したということです。もちろん、それは実験だったので、科学者たちはその抜け穴を利用して悪事を働いたわけではありません。しかし、これは当時の App Store のレビュー メカニズムにはまだ悪用される余地があったことを証明するものでもあります。

iOS のアプリケーションは Walled Garden Model により比較的安全ですが、iOS システム レベルの脆弱性が発見されることがよくあります。

昨年の初め、iOS 7 がリリースされる前に、iOS 6 のセキュリティ脆弱性が、2 段階セキュリティ メカニズムを有効にしていないすべてのユーザーに影響を与えました。この脆弱性を悪用するには、ユーザーは所有者のメールアドレスと生年月日のみを必要とし、Apple の iForgot Web サイトにログインし、セキュリティの質問に答える際に変更された URL アドレスを貼り付けるだけで、Apple ID と iCloud のパスワードを自由にリセットできます。 Appleはその後iForgotウェブサイトを閉鎖し、脆弱性の存在を認めた。

iOS 7 がリリースされて間もなく、あるネットユーザーが iOS 7 の新しいセキュリティ脆弱性を発見しました。画面がパスワードでロックされているときに、「緊急通話」をクリックし、任意の番号を入力してから、電話に Apple ロゴが表示されるまで「通話」ボタンをすばやく繰り返しクリックすると、通話が正常にダイヤルされます。実際、iOS の多くのバージョンには、ロック画面に関するさまざまな脆弱性があります。

Touch ID の登場により、セキュリティと利便性の微妙なバランスが実現されたと考えられています。しかし、ハッカーにとって、Touch ID の指紋認識を解読することはまったく難しいことではありません。有名なドイツのハッカー、Starbug は、自分で指紋のセットを作成し、Touch ID システムを騙すことに成功しました。しかし、Starbug 氏は、Touch ID を解読するのは「まったく難しいことではない」と述べ、さらに「非常にがっかりした」とさえ感じている。

「Touch ID を解読するのにかかった時間はたったの 30 時間でした。準備に 30 分ほどかかり、センサーの技術仕様を見つけるのにさらに時間がかかりました。解読には 1 ～ 2 週間かかると思っていたので、とてもがっかりしました。まったく難しくありませんでした。」

このクラッキングプロセスにより、残酷な現実が明らかになりました。どこに残された指紋でも Touch ID を回避できるのです。 Starbug 氏は、Touch ID はセキュリティではなく利便性を高めるだけだとさえ指摘しています。

しかし、Appleのホワイトペーパーでは、Touch IDは絶対に安全であると指摘されています。ただし、このセキュリティはあのセキュリティと同じではありません。これは個人情報とプライバシーのセキュリティを指します。各 A7 チップには独自のセキュリティ モジュールがあり、Apple も A7 プロセッサもこのモジュール内のデータを読み取ることはできません。さらに、各認証プロセスは「エンドツーエンド」暗号化で実行されるため、指紋情報はアップロードされません。指紋データの処理と分析が完了すると、iPhone5s はデータを自動的に削除し、iCloud や iTunes に同期しなくなります。

Appleは指紋画像の目的についてもさらに説明した。指紋画像は、復号キーになるまで内部ストレージにのみ保存されます。ユーザーが 48 時間以上ロック解除または電話機の再起動を行わない場合、またはデコードが 5 回以上失敗すると、iPhone の保護システムが起動します。さらに、見知らぬユーザーが Touch ID に触れた場合、電話のロックを解除できる可能性はわずか 50,000 分の 1 程度です。

時々、それはシステムのせいではないことがあります。

上記はすべてシステムレベルのものです。システムレベルに加えて、携帯電話のセキュリティ上の脆弱性は他の場所でも存在する可能性があります。

コンピューターセキュリティ研究者の Karsten Nohl 氏と Jakob Lell 氏による新たな研究により、USB デバイスに重大なセキュリティ上の脆弱性があることが明らかになりました。 BadUSB と呼ばれるマルウェアは、マウス、キーボード、USB フラッシュ ドライブなどの USB デバイスを介してパーソナル コンピュータに侵入し、ハード ドライブ ソフトウェアを改ざんする可能性があります。

Karsten Nohl と Jakob Lell は長年にわたり USB デバイスのセキュリティ問題に関する研究に取り組んできました。今回、彼らはいつものようにセキュリティ性能をテストするために、USB デバイスのストレージに侵入するマルウェア コードを作成しませんでした。代わりに、彼らは USB デバイスの転送機能を制御するファームウェアに研究の焦点を当てました。特定のプログラムを作成することで、ハッカーはファームウェア内に悪意のあるコードを簡単に隠すことができ、ウイルス対策ソフトウェアではまったく見つけられないことが判明しました。

この問題は、USB フラッシュ ドライブなどのストレージ デバイスだけでなく、USB キーボード、マウス、さらには USB ケーブルで接続されたスマートフォンでも発生する可能性があります。ペンシルバニア大学のコンピューターサイエンス教授マット・ブレイズ氏は、この研究によって重大なセキュリティリスクが明らかになったと述べた。また、米国NSAはこの問題をかなり以前から知っていて、この方法を使って大量のデータや情報を収集していた可能性があるとも推測した。

公衆トイレのドアの裏には、「IM カードのコピーや盗聴」などの違法な情報が頻繁に見つかりますが、これは詐欺的な情報ではなく、実際に違法なサービスである可能性があります。ニューヨークタイムズ紙は、ドイツのセキュリティリサーチラボの創設者であるカーステン・ノール氏が北米とヨーロッパで約1,000枚のSIMカードをテストした結果、ハッカーがセキュリティの脆弱性を悪用して携帯電話ユーザーに偽のメッセージを送信し、DES SIMカードの25%が自動的にメッセージに返信して56ビットのセキュリティキーを露出させる可能性があることを明らかにしたと報じた。セキュリティキーを入手した後、ハッカーはテキストメッセージを介してSIMカードにウイルスを送信することができます。これにより、ハッカーは携帯電話の所有者になりすまし、テキストメッセージを傍受し、さらにはモバイル決済システムを通じて購入を行うことさえできるようになります。上記のプロセスはわずか 2 分で完了し、1 台の PC だけで完了できます。

2011年に、ルクセンブルク大学のラルフ・フィリップ・ウェインマン氏は、ほとんどのワイヤレスデバイスで無線信号を処理するために使用されるクアルコムとインフィニオンテクノロジーズのチップのファームウェアに脆弱性を発見しました。そこで彼は、この脆弱性を利用して、無線通信ネットワーク信号の送受信に使用されるベースバンド チップをクラックしました。ベースバンドチップをハッキングして携帯電話に侵入することは、これまで不可能だった方法です。携帯電話の無線信号は基地局を介して送信される必要があるため、ウェインマン氏はまず偽の基地局を設置して他の携帯電話を騙して接続させ、その後攻撃対象に悪意のあるコードを送信する。ウェインマンが書いた悪意のあるコードは、無線プロセッサのファームウェア上でのみ実行可能でした。

つい最近、サイバーセキュリティ企業アキュバントのモバイル研究者マシュー・ソルニック氏は、誰にも気付かれずに30フィート離れたところからスマートフォンをハッキングし、通話をハッキングしたり、連絡先を閲覧したり、テキストメッセージを読むことさえできると語った。ソルニック氏は、スマートフォンの無線の脆弱性を悪用して無線通信事業者になりすます方法を大まかに解明したと述べた。これは、1,000ドル未満のノートパソコンサイズの仮想基地局を使用して、30フィート以内の携帯電話に悪意のあるコードをアップロードする方法である。

USB インターフェース、SIM カード、ベースバンド チップなど、さまざまなデータ転送方法には、さまざまなセキュリティ リスクが伴うことがよくあります。

ブラックベリーの最後の栄光

ブラックベリーは衰退し、市場シェアは縮小しているものの、同社の携帯電話のセキュリティは依然として多くの人々に認められています。ドイツ内務省は以前、ドイツ企業Secusmartの技術で暗号化されたBlackBerryデバイス3,000台を購入し、省庁職員に配布していた。内務省の広報官トビアス・プレート氏は、これらのブラックベリー端末を使用することで、ハッカーによる盗聴のリスクが軽減されるため、ドイツ政府も職員が使用するためのブラックベリー端末をさらに発注する予定だと述べた。

ドイツ内務省は、BlackBerry が同省のセキュリティ基準を満たす唯一の携帯電話であると発表し、ドイツ政府は BB10 を搭載した BlackBerry 携帯電話を 20,000 台以上発注することになった。

企業市場では、BlackBerry 携帯電話はセキュリティの強さでかろうじて生き残っています。 BlackBerry が衰退し始めたとき、企業の携帯電話導入を支援する Mission Critical Wireless の CEO、ダン・クロフト氏は次のように語った。

「RIM を非難するのは時期尚早です。同社には明らかに多くの重大な問題がありますが、何百万台もの BlackBerry が今も順調に稼働しています。RIM が企業市場から追い出されることはないでしょう。BlackBerry 以外のデバイスが増えているだけです。」

クロフト氏は、iOS/Android デバイスには強化されたセキュリティ機能があるものの、BlackBerry のセキュリティ機能はより堅牢で、設定も簡単だと考えています。 iPhone や Android などの消費者向けデバイスに適切なセキュリティ システムを構成するには、もう少し計画が必要です。この例は今日でも当てはまります。

Samsung は、企業および政府市場で大きな成功を収めることを常に望んでおり、この目的のために Knox セキュリティ ソリューションを開発しました。しかし、米国政府顧客獲得でブラックベリーと競合し、Knox セキュリティ ソリューションを搭載したこれらの携帯電話は、重大なセキュリティの脆弱性にさらされている。この脆弱性が存在すると、ハッカーは携帯電話ユーザーの電子メールメッセージ、個人データ、その他の個人情報を追跡できるようになります。このセキュリティ上の脆弱性が明らかになったことにより、サムスンはこの競争において不利な立場に立たされました。

国防総省は今年初め、最新の管理システムを導入したが、このシステムでは新たに有効化されたデバイスの98%がブラックベリーの携帯電話だった。新しい管理システムにより、80,000 台の BlackBerry 携帯電話と 1,800 台の iOS および Android デバイスがアクティブ化される予定です。 1億6000万ドルの費用がかかると予想されるこの新しい管理システムは、30万人の警備員が携帯端末を使用する際に軍事機密を漏らさないことを保証するものとなる。

BlackBerry がドイツと米国の政府市場において引き続き信頼を得ているからといって、政府および企業市場でも安心できるというわけではない。

ガーディアン紙によると、ブラックベリーBB10システムは、英国の国家情報セキュリティ技術機関である通信電子セキュリティグループ（CESG）のセキュリティ認証に合格しなかったため、昨年英国政府に拒否されたという。認証を拒否したということは、英国政府が BlackBerry BB 10 システムは安全ではないと考えていることを意味する。 BlackBerry BB 10では、BlackBerryの従来の独自ネットワークサービスに加え、主に企業や政府向けに設計されたアプリケーションであるBlackBerry Balanceが搭載されています。これは主に、個人データと仕事用データを分離し、両者が重複しないようにすることでセキュリティを確保するために使用されます。しかし、英国政府はそれが安全基準を満たしているとは考えていない。

これに先立ち、1万7000人もの職員を抱える米国移民関税執行局は、BlackBerryを放棄し、iPhoneに切り替えた。

携帯電話のセキュリティにもっと時間とお金を費やす必要があるかもしれない

スマートフォンの普及に伴い、モバイル決済が徐々に浸透し始めています。 POS カードのスワイプや Web 決済よりも便利なこの方法は、間違いなくより広い想像空間を持つことになります。

現在のモバイル決済方法には、Paypal デジタルウォレット、Google Wallet、Square などがあり、スマートフォンの助けを借りて急速に拡大しています。たとえば、Square の取引量は 2012 年に 100 億ドルに達し、7,000 を超えるスターバックス店舗に徐々に導入されてきました。今年は取引量がさらに高くなるでしょう。

しかし、セキュリティの問題は依然としてユーザーにとって最大の懸念事項です。消費者は必ずしも利便性だけを追求しているわけではありません。モバイル決済は個人のスマートモバイルデバイスと密接に関係しており、モバイルデバイスは紛失しやすいため、セキュリティの問題を軽視することはできません。セキュリティ上の問題により、ユーザーはモバイル決済を躊躇する可能性があります。場合によっては、セキュリティを強化するためのより複雑な手順の方が、ユーザーにとって受け入れやすいこともあります。

英国の調査機関であるAuriemma Consulting Groupが調査を実施したところ、スマートデバイスによるユーザーエクスペリエンスの重視とは裏腹に、より複雑な手順の方がユーザーに受け入れられやすいことが判明しました。

お金の都合上、利便性と安全性は同時に達成されないことがよくあります。ユーザーは、より面倒な手順を許容する用意もあります。ウェブ上では、オンラインバンキング、クレジットカード、Alipay などのオンライン決済がユーザーの間で非常に人気になっています。動作モードから判断すると、すべての取引でセキュリティ認証文書、複数のパスワード入力、および検証コードが使用されます。しかし、モバイルデバイスでは利便性に対する要求が強く、プロセスの簡素化が一般的な傾向ですが、セキュリティとユーザーの受け入れのバランスをどのように取るかが難しい問題になります。

ブラックフォンですが、名前と用途が一致していません。 「Blackphone」という名前がついていますが、実際にはハッキングを防ぐために特別に設計されたスマートフォンです。 Blackphone は、ソフトウェア チームとハードウェア チームのコラボレーションの成果です。ソフトウェアチームは、暗号化分野で有名な企業である Silent Circle です。このチームの共同設立者は、PGP 電子メール暗号化を発明した Phil Zimmermann です。ジマーマン自身もインターネット協会の「インターネットの殿堂」入りを果たした。

Silent Circle は 2012 年に設立された若いセキュリティ チームです。しかし、チームのラインアップを過小評価すべきではありません。ジマーマン氏に加え、有名なコンピューターセキュリティ専門家のジョン・カラス氏もチームの創設者の一人です。チームの他のメンバーは、上級エンジニアまたは元特殊部隊の通信専門家です。

Silent Circle は Blackphone を発売する前から、電話、テキスト メッセージ、電子メールの暗号化サービスである Silent Phone、Silent Text、Silent Mail を発売しており、セキュリティ業界ではすでによく知られていました。ブラックフォンは当然、このエリアでのチームの蓄積を活用するでしょう。上記の 3 種類の通信を暗号化するだけでなく、この携帯電話は 24 時間仮想プライベート ネットワーク (VPN) を通じてユーザーのオンラインの居場所を匿名化します。 NSAでもこの携帯電話をハッキングすることはできないと言われています。

PrivatOS をベースに高度にカスタマイズされた Android システムには、Silent Circle の暗号化インスタント メッセージング アプリケーション、Spider Oak の暗号化データ ストレージ、Disconnect の追跡防止サービス、Kizmet の WiFi スニッフィング防止機能が組み込まれており、Blackphone は非常に安全です。同時に、価格は629ドルと比較的高価です。

Blackphone は、携帯電話向けの特定のセキュリティ サービスを提供する唯一の企業ではありません。高級携帯電話「Vertu Signature Touch」には、通話やテキストメッセージが盗まれないように、Kaspersky のウイルス対策ソフトウェアと盗聴防止機能が組み込まれています。もちろん、この携帯電話の価格は 11,350 ドルから始まります。

新しい技術を待つ時間もあります。

ニューヨークのセキュリティ会社 EyeLock も、従来のパスワードをより高度な生体認証パスワードに置き換えようとしており、その武器は虹彩スキャンです。彼らが持ち込んだデバイスはMyrisで、ユーザーの虹彩にある240個のキーノードをスキャンし、2048ビットの長さのデジタル署名を生成することができる。使用する際は、ユーザーはMyrisを手に取って目をスキャンするだけでアカウントログインが完了します。

EyeLock が提供したデータによると、Myris 認証が失敗する確率は 2.25 兆分の 1 に過ぎず、音声認識や Touch ID 指紋スキャンをはるかに上回っています。その精度はDNA検査に次ぐものです。 EyeLock の CMO、アンソニー・アントリーノ氏は、将来的には Myris が従来のパスワードを完全に置き換えることになると自信を持って語った。ただし、Myris はマウスほどの大きさの外付けデバイスであり、現在はコンピューターでのみ使用できます。将来的には、虹彩認識は携帯電話やコンピューターなどのデバイスに統合されるはずです。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。