激変するモバイル業界をキャッチアップ

Technology

ChromeやSafariなどのモバイルブラウザで深刻な脆弱性が発覚。現在、対策ができない状況。

投稿日:

主要なモバイルブラウザ(インターネットを閲覧するアプリ)について、深刻な脆弱性が発見されました。それは70%程度の精度でパスコードが抜き取られてしまうもの。しかし、現状では、どのブラウザもこの脆弱性に対処できていません。

スポンサーリンク

不正なJavascriptコード

「Javascript」は様々なサイトで使われています。例えば、「記事の続きを読む」をタップするとJavascriptが呼び出され、記事を再読み込みすることなく、記事の続きを表示します。このように一般的な手段となっており、使われていないサイトはないと言っていいほど、浸透しています。

しかし、このJavascriptが標準化された頃には、まだスマートフォンがありませんでした。そのため、スマートフォン特有の情報にアクセスするためのセキュリティが考慮されていません。

touch

By Christoph Scholz

Javascriptからはタップの情報が読み取れます。当然のことで、タップしたことがわからないと、次の読み込みができないからです。同様に傾きセンサーなどの情報にもアクセスできます。悪意のあるページをみた際に不正なJavascriptをスマートフォンに忍ばせておくと、これらを複合的に悪用することで、ユーザーの行動を追跡することができます。

ニューカッスル大学の研究チームは「TouchSignatures」というJavascriptコードを作成しました。これは端末をシャットダウンしない限り実行され続け、ロック画面でのパスコード入力を読み取り、70%の精度でパスコードを解読できるコードです。

まだどこも問題解決に至っていない

もちろん、研究チームはこの脆弱性をGoogleやAppleに報告しました。しかしまだ、問題解決には至っていません。Javascriptは浸透しすぎているため、標準規格を急に変えることもできません。ユーザーとしてもJavascriptの実行をOFFにすると、通常の使用ができなくなるほど影響があります。

もし個人でできることがあるとすれば、信用できるページにしかアクセスしないことくらいでしょうか。どうしてもアクセスする必要があるページにはJavascriptの実行をOFFにしてアクセスする。しかし、これを行なっても確実に安全とは言い切れません。業界での早急な対応が望まれます。

参考URL:Science Direct

-Technology
-, ,

スポンサーリンク

最新ニュースをLINEでお届け!

友だち追加

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

translator

最大100人まで同時翻訳できる。Microsoftの音声リアルタイム翻訳の可能性。

マイクロソフトは「Microsoft Translator」と「Skype」において、ニューラルネットワーク(AI)を活用した日本語の音声リアルタイム翻訳を提供開始しています。これまでは機械的な翻訳で …

leaf

外出先から戸締りをチェック。2,000円から導入可能でLINE botが教えてくれる。

IoT市場が少しずつ盛り上がりを見せています。Amazon EchoやGoogle Homeなど、家でのアシスタントとして使うものが多い印象で、価格は20,000円程度とちょっと高め。そんな中、2,0 …

cat tracking

なぜって?そこに猫がいるから!VR世界に現実世界の猫を出現させたプロジェクト。

先日、VR機器「HTC Vive」の新製品として、「Vive Tracker」が発表されました。これは現実世界にあるものをVR画面に再現するトラッカーなのですが、このプロダクトを使ってVR世界に現実世 …

iPhoneIO

360°動画・画像を撮影して、シェアやライブ中継もできる「Giroptic iO」

360度撮影できるアクションカメラ製品は多く発売されていますが、この「Giroptic iO」はLightning端子を持ったスマートフォンに装着して撮影、そのままシェアしたりライブ中継も可能になるカ …

HUAWEI

搭載機種が増えてきたスマホの「デュアルレンズ」は「使える」機能なのか?

iPhone7 Plusを筆頭に、最近は「デュアルレンズ」搭載のスマートフォンが増えてきました。一丸レフに匹敵する画質とは言われていますが、果たして「使える」ものなのでしょうか。作例をみながら評価しま …