AppleInsiderスタッフ
· 2分で読めます
新たな調査によると、ユーザーデータのプライバシーとセキュリティに関して、Apple Watchとそれに付随するソフトウェアエコシステムはウェアラブル市場で最もよく設計された製品だという。
Bluetoothのプライバシー保護、あるいはその欠如が、この調査結果の中心的なテーマでした。テスト対象となった8つのデバイスのうち、Bluetooth無線によってブロードキャストされるMACアドレスを定期的に変更していたのは、Appleのウェアラブルデバイスだけでした。
Bluetooth Low Energy製品のMACアドレスのランダム化は、「LE Privacy」と呼ばれるBLE機能によって実現されています。これは重要な機能です。ペアリングされていないBluetooth製品は、検出のために定期的に「アドバタイズ」パケットを送信するように設計されているためです。iPhoneは、このパケットによって近くにペアリング可能なApple Watchがあることを認識します。
カナダのプライバシー保護非営利団体 Open Effect とトロント大学の研究者は、この機能がなければ、フィットネスバンドがデバイスとアクティブにペアリングされていないときに個々のユーザーの動きを追跡するのは比較的簡単だと指摘しています。
Fitbit は、LE Privacy のサポートが不足しているのは「断片化された Android エコシステム」のせいだと非難した。
研究者からこの不具合について連絡を受けたFitbitは、「断片化されたAndroidエコシステム」における互換性の問題により、自社製品がハードウェアでLE Privacyをサポートしているにもかかわらず、LE Privacyを追加できないと指摘した。親会社であるIntelを通じて、BasisはPeakをスマートフォンとペアリングしていない状態で使用することはエッジケースであり、修正を約束していないと述べた。
テストに参加した他の企業(ガーミン、ジョウボーン、ミオ、ウィジングス、シャオミ)からは、「注目すべき回答」は得られなかった。
Bluetoothの問題に加え、いくつかの付属ソフトウェアパッケージにも安全性の問題があることが判明しました。研究者らは、フィットネスデータを傍受して読み取ったり、ディスクに偽のデータを書き込みたりする可能性があると指摘しました。
Garmin Connectアプリは接続にHTTPSを使用していないため、中間者攻撃によるデータの読み書きが可能となっています。Android版WithingsのHealth Mateアプリでも同様の攻撃が可能でした。また、JawboneのUpアプリでは、ユーザーが任意のフィットネスデータをクラウドに送信できる可能性があり、深刻な結果を招く可能性があります。
「フィットネストラッカーのデータの完全性に関するこれらの調査結果は、フィットネスデータの実際の利用方法のいくつかに疑問を投げかける可能性がある」と研究者らは記している。「フィットネストラッキングデータは裁判で証拠として提出されてきた…つまり、少なくとも一部の弁護士は、生成されたフィットネスデータを、ある時点における個人の活動の客観的な指標として利用している可能性がある。JawboneとWithingsの場合、我々は受動的な計測機器であるフィットネスデバイスが、実際には歩数を記録していない特定の時間に、その人の歩数を記録したと示す偽造フィットネスデータを作成してしまった。」
