By Christoph Scholz

スマートフォンでインターネットに接続する時、セキュリティ対策として「怪しいファイルをダウンロードしない」「知らないウェブサイトで不用意に情報を入力しない」などの方法が挙げられます。しかし、これらを徹底していても、メジャーなモバイルブラウザからネットサーフィンをしているだけで、スマートフォンに搭載されているジャイロスコープ・角度センサー・加速度センサーなどのセンサー類のデータを読み取られ、ユーザーの入力した情報が70%以上の精度で識別されてしまうという研究結果がBBCで報じられています。

TouchSignatures: Identification of user touch actions and PINs based on mobile sensor data via JavaScript

http://www.sciencedirect.com/science/article/pii/S2214212615000678

The way people tilt their smartphone 'can give away passwords and pins' - BBC Newsbeat

http://www.bbc.co.uk/newsbeat/article/39565372/the-way-people-tilt-their-smartphone-can-give-away-passwords-and-pins

ニューカッスル大学が2016年4月に発表した研究結果によると、Safari・Chrome・Opera・Firefoxなどのすべてのメジャーなブラウザでインターネットにアクセスした時、ユーザーの許可なしにモバイル機器のセンサー類の情報を読み取ることができるとのこと。これらのセンサー類のデータを分析することで、リモートでユーザーの「電話したタイミング」「物理的アクティビティ」「スクリーンのタッチアクション」「PINナンバー」などを識別することができます。

研究チームは、iOSとAndroid端末で悪意のあるコードを実行してセンサーデータを抜き取ることができる「TouchSignatures」を使って、ユーザーのタップ、スクロール、ホールド、ズームなどのアクションを分析する実験を実施。その結果、ブラウザを閉じたり、スマートフォンをロックしたりした状態でもデータを読み取ることができ、Androidで70%、iOSで56%の精度でPINナンバーや4桁の番号を推測することに成功したとのこと。



By Marco Verch

この問題はほとんどのスマートフォンやタブレットだけでなく、センサー類を搭載したIoT機器にも適用可能であることが指摘されています。研究著者のMaryam Mehrnezhad博士は、「いくつかのブラウザでは悪意のあるコードが埋め込まれたページに一度アクセスしただけで、ユーザーの行動を追跡することが可能になりました。モバイル機器を完全にシャットダウンしない限り、追跡を免れることはできないのです」と話しています。



By H is for Home

なお、研究チームはこの問題をGoogleやAppleに報告していますが、記事作成時点まで誰もこの問題を解決するに至っていないとのこと。今後研究チームは、フィットネストラッカーがオンラインプロフィールに結びつけられる危険性に関する研究を行う予定です。