スマートフォンの画面が割れてしまうことは、常に起こり得るリスクである。とはいえ、実際に割れてしまうと手間とお金がかかる。そこで何とか安価に取り換えるべく、正規店を介さずに怪しい相手に注文したくなるものだ。だがそこで驚くべきわなが仕組まれることがある。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
サードパーティーのベンダーから購入されたひび割れスマートフォンの代替画面は、クラッカーの攻撃に対して脆弱になる可能性があることが、新たな研究から明らかになった。
イスラエルのネゲヴ・ベン・グリオン大学が実施した調査によると、クラッカーたちは交換用画面を使用して、携帯電話を改変しデータを盗み出すことが可能である。
ユーザーは、こうしたデバイスに対する攻撃にほとんど気付かない。だが、新しい交換用タッチスクリーンに埋め込まれた不正チップを介することで、攻撃は実行される。
この調査によれば、たとえデバイスが攻撃されている最中であっても攻撃者を捕まえることが極めて難しい。「家電製品の中に存在する周辺機器の脅威は軽く扱われるべきではない。この記事が示すように、周辺機器を悪用した不正攻撃は、実現可能であるばかりか、さまざまな展開が起こり得る。にもかかわらず、どんな検出手法でも見つけにくい」のである。
2種類のAndroidデバイス(Huawei Nexus 6PとLG G Pad 7.0)で検証を行った結果、研究者は埋め込まれた不正チップを使用して電話を制御できた。
彼らは、改変されたデバイスがどのようにユーザーの写真を撮ってハッカーに転送するのかを明らかにした。
この調査結果は2017年8月中旬、カナダのバンクーバーで行われたイベント「攻撃的技術に関するUsenixワークショップ」において発表された。問題のデバイスのOSの脆弱性を悪用しながら侵入し、タッチスクリーンに隠された不正チップがどのようにキーボード入力を記録したのか、説明された。
2015年に実施された調査によると、スマートフォンを持つ人の50%以上が画面を少なくとも1回は壊している。また、スマートフォンユーザーの21%はスクリーンを割ったデバイスを使い続けている。
大ざっぱに言えば、人々は、ひび割れた画面をそのまま使用するか、破損した機器を専門店に持っていくか、いずれかを選択する。破損画面の交換は、保障のない人にとっては高価すぎる。そこで、しばしばeBayなどのWebサイトを通じてサードパーティーの画面をオンラインで購入したり、非公式のベンダーに機器を持ち込むことになる。
この場合、わずか千数百円(10ユーロ)で済むが、その結果、貴重なデータや個人情報が失われる可能性がある。
多くのスマートフォンの所有者がサードパーティー製品を購入し利用している。その前提をもとに研究者は、電話会社が弱点を反映した機器を作る必要があると考えている。「意欲に満ちた攻撃者は、そのような攻撃を大規模に、または特定のターゲットに対して実行できる。システム設計者は、交換部品が電話会社の責任の外側にあると考えているため、それに応じて防御を設計する必要がある」と研究者は指摘している。