シマンテックは8月6日、セルフトラッキング用のスマートフォンやウェアラブルなどのデバイスやアプリの多くにセキュリティリスクが存在することを確認、特に主要ブランドの製品を含め、調査対象のウェアラブルな活動追跡デバイスのすべてが位置追跡に対して脆弱であることが判明したと発表した。

一般的なセルフトラッキング用デバイスの構造

同社は、さまざまな目的のために思考、経験、成果のあらゆる側面を日々記録しているセルフトラッキング(自己定量化やライフログと呼ぶ)で使用されるスマートフォンやウェアラブルなどのデバイスやアプリについて、プライバシーとセキュリティが重要な検討課題であることから、そのセキュリティリスクを調査した。

今回、ミニコンピュータ「Raspberry Pi」をベースとした独自のスキャンデバイスをスポーツイベントや混雑した公共の場所に持ち込み、セルフトラッキング活動により個人の追跡が可能なことを確認した。また、情報を送信する際のパスワードが平文で送信されたり、セッション管理が不十分であったりと、個人情報の保存や管理における脆弱性についても確認した。

個人の追跡が可能になる原因として、スポーツ活動を追跡するウェアラブルデバイスには通常、動きを検知するセンサーが搭載されているが、その多くは位置追跡用に設計されておらず、収集されたデータは他のデバイスやコンピュータと同期して、確認できるようにする必要があることが挙げられている。

デバイス製造元の多くは、利便性のために Bluetooth Low Energyを使って無線でデータを同期するようにしているが、これにより位置情報を追跡可能な情報がデバイスから送信されている可能性があるという。

多数のセンサーが搭載されている最新のスマートフォン

また、パスワードが平文で送信されたり、セッション管理が不十分だったりする原因は、多くのセルフトラッキング用アプリやサービスが、ログイン情報などのユーザー生成データを、暗号化などの保護を行うことなく安全が確保されていないインターネットのようなメディアを使って送信しているためとしている。これにより、攻撃者は簡単にデータを傍受して読み取ることができる。

同社は、このような基本レベルのセキュリティが欠けているのは深刻であり、これらのサービスで、サーバに保存されている情報の取り扱いについて重大な懸念が生じるとしている。

さらに、調査したアプリの52%にプライバシーポリシーが存在せず、 1つのアプリが接続するドメイン数は最大で14個、平均5個であることもわかった。これらは意図しないデータ漏洩の危険性につながる。ユーザーセッションが適切に処理されていないサイトもいくつか確認され、あるサイトでは、他のユーザーの個人情報を参照できることが判明したという。