FitbitやJawboneなどにセキュリティ上の問題。

fitbit charge HR  こういう記事が書かれるようになったということは、フィットネス・トラッカーがニュースにする価値があると思われるほどに社会に認知されてきたということだろうか。これはパソコンや携帯電話、スマートフォン、タブレットでも行われてきた恒例行事だ。スマートフォンが普及しだした時にはスマートフォン固有の危険ではない携帯電話時代からあったことまで増幅して語られていた。タブレットもだ。今でも iPad で検索したら iPad 固有ではない「危険性」を煽る記事の残骸がヒットするだろう。それがフィットネス・トラッカーにも使われるようになったのだろう。

 「Bluetooth の通信が傍受されたら危険」ということだろう。Bluetooth の端末側のMACアドレスが固定されていると、MACを騙ってデバイスに接続でき、アプリに脆弱性があったらスマートフォン側のクラッキングができるということだ。

 しかし、Bluetooth の通信を傍受するには物理的に近くなければならない。また、フィットネス・トラッカーは常時通信しているわけではなく、アプリを立ち上げて同期するときだけだ。実験室ならともかく、現実世界でBlutoothを傍受することは難しいだろう。

 また、アプリに脆弱性がなければできることは架空のログを書き足す程度だろう。つまり、ほとんど影響がないということだ。アプリに脆弱性があるかどうかは「フィットネス・トラッカーが危険」という問題ではなく、「Bluetooth デバイスと通信するアプリの危険性」の問題だ。もちろん、対応すべき課題ではあるが。

FitbitやJawboneなど複数の活動量計にセキュリティ上の問題。測定数値の改ざん、データ削除など – Engadget Japanese

カナダの非営利な調査団体 Open Effect が、腕などに装着するフィットネストラッカーの多くにセキュリティ上の問題があり、測定結果の改ざんも可能だとする調査結果を公開しました。心拍数などの測定数値を改ざんしたり、不正にワークアウト記録を生成したりできるとしています。

調査はカナダ・プライバシー委員会の費用援助によって実施されました。調査対象となったのは、Apple Watch、Basis Peak、Fitbit Charge HR、Garmin Vivosmart、Jawbone UP 2、Mio Fuse、Withings Pulse O2 の8機種。

報告によれば、このうち7機種で通常使用中に継続的に追跡が可能な識別子となる MAC アドレスが確認できたとのこと。また Jawbone と Withings のアプリでは、偽の活動記録をも生成できたとしています。

さらに、iOS/Android 向けの Garmin Connect アプリ、Android 版 Withings Health Mateアプリにも問題があり、最終的に8機種中7機種で第三者からのデータ取得、書き込み、データ削除などができたとのこと。一方、この調査では Apple Watch からはセキュリティ上の問題は発見できませんでした。

こうした問題から危惧されるのは、心拍数や歩数カウント情報が見られることよりも、フィットネストラッカー経由でスマートフォンの位置を割り出したり、スマートフォンの中から個人情報やクレジットカード、銀行などの情報を抜き出されること。

現実にそこまで可能なのかはまだわからないものの、Open Effect はメーカーに問題を伝え、改善の相談をしているとのこと。問題が見つかった機器は、ファームウェア更新機能のあるものならアップデートによってそれを解消することができるものと考えられます。

2015年はコネクテッド・カー、つまりインターネットに接続する自動車が続々とハッキングされ、大規模なリコールも発生しました。また2016年になってすぐ、適切な設定がされていないネットワークカメラを集めたサイトがニュースとなり、国内でも大きな反響をよびました。IoT でなんでもインターネットに繋がれば、我々の生活は便利になっていくものの、逆にどこからでも情報を抜き取られる可能性があるということも、頭の隅に入れておく必要がありそうです。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です