『iPhone』などに Wi-Fi 利用でデータ漏洩のおそれ

モバイル セキュリティ企業 SMobile Systems によると、公共の Wi-Fi ホットスポットを利用することで、スマートフォンのデータ保護に問題が生じるという。同社は保護されていないワイヤレス ネットワークを通じて、数種類のハイエンド携帯端末のハッキングに成功した。

SMobile Systems のセキュリティ専門家チームは先ごろ、「中間者」(MITM) 攻撃を利用して、人気の高いスマートフォン4種からデータを盗み取るのに成功し、その方法についてまとめた調査結果 (PDF ファイル) を発表した。

MITM 攻撃とは、ハッカーが2つのシステム間の通信に割り込み、両者間のメッセージを中継するものだ。今回の調査では、Wi-Fi アクセス ポイントに接続しているスマートフォンが使われた。ハッカーが自分の利益を得るために、新たな接続を行なう、または既存の接続を無効にすることで、トラフィックは経路変更される。

SMobile のチームは、OS として『S60』を搭載した『Nokia N95』、『iPhone OS 3.1』を搭載した『iPhone 3GS』、『Windows Mobile 6.1』を搭載した HTC の端末『AT＆T Tilt』について、保護されていない Wi-Fi ネットワークを通じて『Secure Socket Layer』 (SSL) のセキュリティを突破した。『Android』OS を搭載した T-Mobile の『T-Mobile G1』にも同様の実験を行なったが、報告書では使用した OS のバージョンを明らかにしていない。

今回の調査は、『Wi-Fi Protected Access』(WPA) 認証によって保護されていない Wi-Fi ネットワークに接続した場合のスマートフォンの脆弱性に焦点を当てたものだ。パソコンの場合も、同じ脆弱性が広範囲にわたって悪用されている。

SSL を回避することで、攻撃者は攻撃に使用しているパソコン上で、ログイン パスワードなどのデータをプレーンテキストで見ることができる。

報告書では、攻撃に使用されるツールの例として、『Arpspoof』や『SSLStrip』などが挙げられている。こういったツールをノートパソコンに搭載し、スマートフォンの SSL 暗号を破ることで、ユーザーの名前やパスワードを入手するという。