「ブラウザーからセンサーを狙う攻撃」の恐怖
この攻撃で厄介なのは、まず「アプリではない」という点でしょう。攻撃者が悪質なプログラムをユーザーのスマートフォンにインストールしたい、あるいは悪質なアップデートを行いたいと願っても、それを配布するのは難しいのです。しかしブラウザーで行われる攻撃なら、アプリストアの承認を得る必要がありません。さらに、この攻撃は基本的にスマートフォンの機種やOSを問わないのです。厳密に言えば、ユーザーが利用しているOSとブラウザーの組み合わせ、および攻撃のシナリオの種類によって、攻撃が有効となるケース/無効となるケースがある(また、読み取りやすいケース/読み取りにくいケースもある)ということです。しかしPINLogger.jsは「標準のJavaScriptコード」であるため、あらゆるバージョンのiOS、Androidのスマートフォンのセンサーにアクセスを試みることができます。もう一つ厄介なのは、この攻撃を防ぐ方法が難しいという点です。現段階で最も現実的な対策は、「ブラウザー側の対応」でしょう。すでにMehrnezhad博士の研究チームは大手ブラウザーのベンダーに問題を報告しています。MozillaはFirefoxバージョン46で、JavaScriptによるモーションセンサーやオリエンテーションセンサーへのアクセスの制限を行ったのです。具体的にはトップレベルのドキュメント、および「同じ場所から配信されているiframeのページ」のみにアクセスを制限する措置をとったということです。またAppleはiOS 9.3のアップデートで、Safariのページを表示していないときの「動作や向きに関するセンサーのデータの可用性」を中止するという策を講じています。
No Responses to “「ブラウザーからセンサーを狙う攻撃」の恐怖”