出会い系
それが一生の関係であるか、一夜限りのものであるかにかかわらず、インターネット上で運命の人を探すことは、かなり前から割と一般的に行われています。出会い系アプリは、私たちの生活の一部となりました。理想のパートナーを探すためなら、名前や職業、勤務地、ふだん、どのあたりで遊んでいるかなど、さまざまな情報を公開する覚悟ができている…そんな人がこのようなアプリを利用しています(英語資料)。出会い系アプリは、たまに出てくるヌード写真など、どちらかといえば公にすべきではない性質のものを扱いますが、こういったデータはどのくらい慎重に処理されているのでしょうか?Kaspersky Labは、出会い系アプリのセキュリティ性能を試してみることにしました。
当社のエキスパートは、Tinder、Bumble、OkCupid、Badoo、Mamba、Zoosk、Happn、WeChat、Paktorなど人気ランキング上位のオンライン出会い系アプリを調査し(英語記事)、利用者にとっての主な脅威を確認しました。検知した脆弱性はすべて開発元に報告済みであり、この記事が公開されるまでに修正が完了したものや、近い将来に修正が予定されているものがあります。しかし、すべての開発元がすべての不具合を修正すると約束したわけではありません。
脅威1. 身元がわかってしまう
調査チームは、調査対象となったアプリ9種類のうち4種類で、利用者自身が提供したデータに基づいてハンドル名の人物が誰なのかを突き止め可能なことを発見しました。たとえばTinder、Happn、Bumbleでは、利用者の勤務先や学校名を誰でも見ることができるので、この情報を使用してSNSアカウントを突き止め、本名を知ることが可能です。特にHappnは、サーバーとのデータのやり取りにFacebookアカウントを使うため、Facebookのプロフィールから姓名をはじめとするHappnユーザーのさまざまな情報を、誰でも最小限の労力で割り出すことができます。
また、Paktorがインストールされている個人用デバイスからのトラフィックを傍受したならば、驚くことに、他のPaktorユーザーのメールアドレスを見ることができます。
調査の結果、HappnとPaktorの利用者は、SNSで100%特定可能であること、また、Tinderの場合は60%、Bumbleの場合は50%の割合で特定できることが分かりました。
脅威2. 居場所がわかってしまう
誰かがあなたの居場所を突き止めたいと考えた場合、9種類中6種類のアプリがその人に手を貸すことになります。利用者のロケーションデータにしっかり鍵がかけられていたのは、OkCupid、Bumble、Badooだけでした。その他のアプリは、あなたとあなたが探している人の間の距離が表示されます。あちこち動き回ることであなたと相手の距離に関するデータを蓄積していけば、「獲物」たるあなたの正確な居場所を判断するのは難しくありません。
Happnは、あなたと別の利用者との距離をメートル単位で教えてくれるだけでなく、2人の足跡が何回交わったかも示してくれるので、さらに追跡しやすくなります。信じられないかもしれませんが、これがこのアプリのメインの機能なのです。
脅威3. 転送データが保護されない
大半のアプリはSSLで暗号化されたチャネルを経由してサーバーにデータを送っていますが、例外もあります。
調査チームによると、この点でもっとも不安なアプリはMambaです。Android版で使用されている分析モジュールは、デバイスに関するデータ(型式やシリアル番号など)を暗号化しません。また、iOS版はHTTP経由でサーバーに接続し、メッセージも含め、データをまったく暗号化せずに(つまり、保護しないまま)転送します。こういったデータを見ることはもちろん、編集も可能です。たとえば、「お元気ですか?」というメッセージを、まったく関係のない人が「お金を貸してください」に変えることができるのです。
保護されていない接続を悪用して他人のアカウントを操作する行為を許すアプリは、Mambaだけではありません。Zooskも同様です。しかし、当社の調査チームがZooskのデータを傍受できたのは、新しい写真や動画をアップロードしたときだけでした。また、この不具合を知らせたところ、開発元は速やかに問題を修正しました。
Android版のTinder、Paktor、BumbleとiOS版のBadooもHTTP経由で写真をアップロードしますが、これを利用すれば、利用者が誰のプロファイルを見ているのかを突き止めることができます。
Android版のPaktor、Badoo、Zooskを使っている場合は、さらに別の詳細情報(GPSデータやデバイス情報など)が悪人の手に落ちる可能性があります。
脅威4. 中間者(MITM)攻撃を受ける
オンライン出会い系アプリのサーバーは、ほとんどすべてがHTTPSプロトコルを使用しています。したがって、証明書が本物かどうかを確認すれば、トラフィックが本来の目的地に向かう途中で不正なサーバーを経由させる中間者攻撃(MITM攻撃)から身を守ることができます。調査チームは偽の証明書をインストールし、アプリがその真偽のほどを確認できるかどうかを探りました。偽物と見分けられなければ、そのアプリは事実上、トラフィックの盗み見を手助けしていることになります。
調査の結果、ほとんどのアプリ(9種類中5種類)が証明書の真贋を検証しておらず、MITM攻撃に対して脆弱であることが分かりました。また、ほとんどすべてのアプリがFacebook経由で認証するため、証明書の検証が行われず、トークン化された一時認証キーが盗まれる可能性があります。トークンは2~3週間有効なので、その期間中、キーを盗んだ人は盗まれた人の出会い系アプリのプロファイルにフルアクセスできるだけでなく、SNSアカウントデータの一部にもアクセスできます。
脅威5. スーパーユーザーの権限に弱い
スーパーユーザー(root)権限を使えば、デバイス上にあるデータに(種類を問わず)アクセスできます。ただし、この心配があるのはAndroidデバイスの場合です。iOSのroot権限を取得できるマルウェアはほとんどありません。
しかし、分析の結果を見ると、決して楽観的ではいられません。Androidに対応したアプリ9種類のうち8種類が、root権限を持つ人に大量の情報を提供してしまいかねないことがわかりました。調査チームは、これら8種類のアプリほとんどすべてでSNSの認証トークンを取得できました。認証情報は暗号化されていますが、復号鍵をアプリ自体から簡単に抽出できたのです。
Tinder、Bumble、OkCupid、Badoo、Happn、Paktorは、メッセージ履歴とユーザーの写真をトークンとともに保存していました。つまり、root権限を持っていれば誰でも簡単に機密情報にアクセスできます。
まとめ
この調査結果は、多くの出会い系アプリが利用者の機密データを十分な注意をもって取り扱っていないことを示唆しています。このようなサービスを使用するなという話ではありません。問題を理解し、可能であればリスクを最小限に抑える必要がある、ということなのです。
やるべきこと:
やってはいけないこと:
- 出会い系アプリの公開プロファイルにSNSアカウントを追加したり、本名や職場を教えたりしないようにする。
- メールアドレスを公開しない。個人用のアドレスでも会社のアドレスでも同様です。
- 保護されていないWi-Fiネットワークで出会い系サイトを使わない。
ヒント