KADOKAWA Technology Review
×
10/9「生成AIと法規制のこの1年」開催!申込み受付中

ニューズラインエマージング・テクノロジーの最新情報をお届け。

スマート・スピーカー向け「盗聴」アプリ、審査を通過していた
Associated Press
Smart speakers can be hijacked by apps that spy on users

スマート・スピーカー向け「盗聴」アプリ、審査を通過していた

ドイツに拠点を置くハッキング・コンサルティング企業「セキュリティ・リサーチ・ラボ(Security Research Labs)」によると、グーグルやアマゾンのスマート・スピーカーに対応したサードパーティ製のアプリが、密かにユーザーの音声を盗聴したり、パスワードをフィッシングしたりしている可能性があるという。

セキュリティ・リサーチ・ラボは、アマゾン・アレクサ(Alexa)用に4つ、グーグル・ホーム用に4つ、合計8つのアプリを作成した。それらのアプリがインストールされたデバイスでは、音声感知距離内の会話をすべて内密に記録し、データのコピーを特定のサーバーに送信することに成功したという。アルステクニカ(Ars Technica)によると、セキュリティ・リサーチ・ラボが作成したアプリの大半は、星占いアプリに偽装したもので、盗聴機能が仕込まれたバージョンでは、ユーザーはアプリに星占いの結果を尋ねる。アプリは結果を伝えて無音になり、ユーザーにはすでにアプリが起動していない印象を与えるが、実際には音声の録音を続けている、というものだ。もう1つのフィッシングタイプのアプリでは、虚偽のエラーメッセージを出し、ユーザーにパスワードを要求する。これらのアプリは後に削除されたものの、いずれもグーグルおよびアマゾンのセキュリティ審査を通過していた。セキュリティ・リサーチ・ラボのアプリ開発者は、これらのアプリを開発した過程の説明を公開している

アマゾンとグーグルはアルステクニカの取材に対し、こうした方法による製品の乗っ取りを防ぐために、アプリの承認プロセスを変更していると述べている。だが、そもそもこのアプリが承認されたという事実自体が、アマゾンやグーグルといった企業が、自社のプラットフォームで動作するアプリの審査に十分な時間やエネルギーを割いていない証拠となっている。

スマート・スピーカーがプライバシーの脅威をもたらすことは、広く認知されている。アマゾングーグルアップルといった企業はユーザーのデバイスの音声クリップを定期的に聞いており、スマート・スピーカーに録音された音声は刑事裁判で使用される可能性がある。このことは、消費者からの人気に悪影響を与えてはいない。

ハッカーによってスマート・スピーカーがスパイ機器になり得ることが示されたのは今回が初めてではない。2018年12月に開催されたデフコン(DefCon)のプレゼンテーションで、同じWi-Fiネットワーク上に攻撃ツールを仕込めれば、同様の攻撃が可能であることを2人の研究者が証明している。しかし、今回の最新の攻撃は、スマート・スピーカーによるプライバシーの脅威が、メーカーだけでなくハッカーからももたらされることを示すものだ。

シャーロット・ジー [Charlotte Jee] 2019.10.24, 6:58
日本発「世界を変える」U35イノベーター

MITテクノロジーレビューが20年以上にわたって開催しているグローバル・アワード「Innovators Under 35 」。2024年も候補者の募集を開始しました。 世界的な課題解決に取り組み、向こう数十年間の未来を形作る若きイノベーターの発掘を目的とするアワードの日本版の最新情報を随時発信中。

特集ページへ
MITテクノロジーレビューは有料会員制サイトです
有料会員になると、毎月150本以上更新されるオリジナル記事が読み放題!
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る