研究者らによると、携帯電話ユーザーの利便性のために用意されたGoogle Chromeの機能が、悪意ある人物にデバイス所有者の個人情報への広範なアクセスを許してしまうケースが相次いでおり、ストーカー行為に悪用される事例が増加しているといいます。
Certo Softwareは火曜日に投稿したブログ記事の中で、ストーカーがChromeの同期機能――あるデバイスでChromeにサインインすると他のデバイスでもサインインしやすくなる、本来は利便性のための機能――を悪用し、スマートフォン所有者の閲覧履歴を盗み見たり、保存されたパスワードにアクセスしたりしていると指摘しています。
その一例として、Certoは仮名の被害者「エマ」のケースを紹介しています。エマはパートナーが眠っている間に家族専門の弁護士を検索し、ドメスティックバイオレンス支援サイトを閲覧していましたが、2日後にパートナーからその件を持ち出されてしまったといいます。
「エマは自分のデバイスしか使わないよう常に気をつけており、新しいアプリが表示されたことにも気づいていませんでした」と、Certoの共同創業者であるラッセル・ケント=ペイン氏は記しています。「しかし彼女が知らなかったのは、数週間前、彼女がスマートフォンからほんの数分離れた隙に、パートナーがChromeアプリを開き、密かに自分のGoogleアカウントでサインインしていたということです。その瞬間から、彼女が訪れたすべてのサイトはそのままパートナーのアカウントにコピーされ、世界中どこからでも、どのデバイスからでも閲覧できる状態になっていました」
この監視は驚くほど簡単です。スマートフォンにほんの少し触れる時間があれば、Googleアカウントにサインインし、そのアカウントで同期をオンにするだけで済んでしまいます。
電子フロンティア財団(EFF)のサイバーセキュリティ責任者であるエヴァ・ガルペリン氏はBluesky上で、Certoの調査結果は「技術を悪用した虐待がストーカーウェアだけにとどまらないことを改めて示す、重要な事例だ」と述べています。
Certoは、ユーザーを守るためにGoogleが講じられる対策として、新しいアカウントが追加されたり同期がオンになったりした際に一時的な通知を表示すること、あるいは同期が有効になっているかどうかと、どのアカウントに同期されているかを常時示す表示を設けることなどを挙げています。
Googleは、Certoの調査結果について複数回のコメント依頼に応じませんでした。
もっとも、この手法によるストーキングが増加している背景には、スパイウェア対策における他の分野でのセキュリティ強化の副作用がある可能性があるとCerto社は指摘しています。
「現代のスマートフォンは、かつてないほど侵害が難しくなっています。定期的なセキュリティアップデート、アプリストアの審査基準の厳格化、端末上での脅威検知の進歩により、従来型のスパイウェアはサイバーストーカーにとって以前よりもはるかにリスクの高い選択肢になりました」とケント=ペイン氏は記しています。「その結果、加害者たちは、被害者のスマートフォンにすでに入っている正規のアプリという、はるかに単純な手段に頼るケースが増えています。インストールの必要もなく、不審な権限要求もなく、バッテリー消耗といった明白な兆候もありません。被害者自身が存在すら知らなかった機能を、静かに悪用するだけなのです」
同時に、Chromeは世界で最も普及しているブラウザであり、その同期機能をめぐるセキュリティ上の懸念が指摘されたのは今回が初めてではありません。これまでにも同様の問題が浮上したことがあるほか、他の懸念も指摘されています。
翻訳元: https://cyberscoop.com/google-chrome-sync-cyberstalking-exploit/