実は危険なスマートウォッチ〜個人情報ダダ漏れの可能性

 
現在市場には様々なフィットネストラッカーやスマートウォッチが出回っていますが、ユーザーデータに簡単にアクセスできてしまう、セキュリティ面で問題のあるモデルが多いことが判明しました。

Android搭載機7個とApple Watchを評価

セキュリティ企業AV-Testが、Android Wearを搭載したスマートウォッチおよびフィットネストラッカー7モデルとApple Watchについて、セキュリティ面からの評価を行いました。同社が評価にあたり、注目したのは次の2点です。
 
・個人ユーザーの視点で見た場合、トラッカーやアプリに記録されたデータがサードパーティーによって盗み見られたり、ハッキングされたりする危険性がないかどうか。
・保険会社や企業から見た場合、トラッカーやアプリ内のデータが改ざんされたりしないかどうか。
 
評価対象となったのは、Basis Peak、Microsoft Band 2、Mobile Action Q-Band、Pebble Time、Runtastic Moment Elite、Striiv Fusion、Xiaomi MiBandのAndroid Wear搭載7機種とApple Watchです。ただしApple WatchのみOSが異なるため、評価が別となっています。
 
本体、アプリ、オンライン通信の3カテゴリーで、本体は「可視性」「BLEプライバシー」「接続の制御」「適切な認証」「改ざん防止」、アプリは「ローカルストレージの安全性」「難読化コード」「ログおよびデバッグ情報」、オンライン通信は「暗号化」「改ざん防止」の、計10項目で評価を行っています。
 
ただしApple WatchについてはOSの違いのために一部テストが実行できなかったため、評価項目が少なくなっています。

10項目で評価

わかりにくい評価項目について説明すると、可視性というのは、スマホとBluetooth接続している際に、ほかのBluetooth端末に表示されるかどうかということです。セキュリティの観点からいえば表示されるべきではありません。テストの結果表示されなかったのは、Microsoft Band 2、Pebble Time、そしてApple Watchだけでした。
 
BLEプライバシーとはAndroid 5.0以降に搭載されている機能で、MACアドレスをBluetooth接続のたびに更新し、追跡不可能にします。これが有効になっていたのはMicrosoft Band 2のみでした。
 
接続の制御とは、認証していない他のデバイスから接続できないようになっているかどうかを示します。
 
アプリの評価項目の「ローカルストレージの安全性」とは、アプリのデータが他のアプリからはアクセスできないよう、安全に保管されているかどうかの評価です。Xiaomi MiBandは唯一問題があったデバイスで、アプリのログファイルをどのアプリからもアクセスできる場所に保存していました。
 
難読化コードとは、アプリのコードが 攻撃者から読めないようになっているかを意味します。

最も危険なのはXiaomi MiBand。Apple Watchは高評価

テストの結果、セキュリティリスクが10項目中2から3と最も少なかったのが、Pebble Time、Microsoft Band 2、Basis Peakの3モデルでした。一方Runtastic、Striiv、Xiaomiの各モデルはセキュリティリスク7〜８となり、特にXiaomiについてはすべてのデータを暗号化しないままスマホに保存していることが明らかになっています。
 
一方Apple Watchの安全性は全般的に見て「高い」と評価されています。オンライン通信の評価についてはアップデートのときのみ、暗号化されていないHTTP経由で行なうため、このような評価となりました。BLEプライバシーについては、Bluetooth接続のためにMACアドレスは更新されるものの、エアプレーンモードのときのみ、同じアドレスとなったとのことです（ただし通常こうしたことはないので、問題にならないと評価されています）。
 
またApple Watchでは特別な盗難防止策が講じられており、いったんアカウントと同期すると、リセットをしても、他のiPhoneとは同期できない、つまり盗んだ人間が自分のiPhoneとは同期できないようになっています。
 

 

 
 
Source:AV-Test via Phys.org
(lunatic)