ロジャー・フィンガス
· 1分で読めます
すでにiPhoneやiPadにパッチが適用されているものの、ケンブリッジ大学の研究者らは、モーションセンサーを介して人の「指紋」を採取できるハッキング技術を開発したと述べている。
研究者らによると、この手法はJavaScriptを用いて、感染したウェブサイトにアクセスしたスマートフォンから加速度計、ジャイロスコープ、磁力計のデータを収集する。これは1秒以内に動作し、同意を必要とせず、影響を受けるiOSデバイスすべてに「グローバルに一意の指紋」を作成する。工場出荷時設定にリセットした後でも、同様の仕組みだ。
この攻撃が成功すれば、侵入したデバイスを使用している限り、アプリとウェブの両方で人物を追跡することが可能になります。現実世界で実際に使用された事例は知られていませんが、少なくとも2,653のウェブサイトが動作データを収集しており、ケンブリッジ法は遡及的に適用できると考えられています。
Appleは8月にこの問題の報告を受け、ADC出力にランダムノイズを追加するという提案に基づき、3月のiOS 12.2で修正しました。この修正に協力した研究者には、ケンブリッジ大学のJiexin Zhang氏とAlastair Beresford氏、そしてPolymath Insight LimitedのIan Sheret氏が含まれています。
GoogleのPixel 2とPixel 3は依然として脆弱性を抱えていると言われています。テスト済みの他のAndroidスマートフォンではこの問題は発生していませんが、工場出荷時に調整された他のAndroid製品では、理論的には脆弱性が存在する可能性があります。
