Bluetooth接続に脆弱性〜iOS、macOS、Windows機器に影響

iOS、macOS、Windows 10を搭載したデバイスでBluetooth接続を利用すると、使用しているデバイスが特定、追跡される危険性があるとの最新調査報告書を、ボストン大学が発表しました。米メディアZDNetが報じています。

Androidは影響を受けない

報告書によれば、AppleのMac、iPhone、iPad、Apple Watch、そしてMicrosoftのタブレットとラップトップPCがこの危険にさらされています。Androidは影響を受けません。

多くのBluetoothデバイスはパブリックチャンネルを使い、他の機器に存在を知らせますが、追跡されないようにMACアドレスの代わりに、定期的に変わるランダムなアドレスを使用します。

アドレス・キャリーオーバー・アルゴリズム

ところがボストン大学が開発した新しい「アドレス・キャリーオーバー・アルゴリズム」を用いると、ランダムなアドレスを使用していてもIDトークンを入手し、デバイスを突き止め、ユーザーの行動まで追跡できるとのことです。

同大学によれば、iOSやmacOSデバイスには2つのIDトークン（nearby、handoff）があり、それぞれ異なる間隔で変更されます。通常IDトークンの値はアドレスと同期して変わりますが、時々ずれが生じる場合があり、アドレス・キャリーオーバー・アルゴリズムはそのずれから次のアドレスを識別することができてしまいます。

AndroidデバイスはMicrosoftやAppleとは異なる方法を用いているため、このアルゴリズムでは追跡することができないそうです。

ボストン大学は報告書のなかで対策方法も挙げています。米メディアMacRumorsは、Appleは通常、こうした脆弱性には迅速に対応するため、近く何らかの対策を取るのではないかと記しています。

2019-07-18 00:18:48