StageFright脆弱性というモノがあると数日前(2015/7/27)知りました。一言でまとめると、「電話番号だけでスマートフォンを乗っ取られる」不具合です。
ニュースで見て背筋が凍りました。ほとんどのスマートフォン(特に日本の)では対策パッチは配られないのではないかと危惧しています。
で、自分のスマートフォンをふと見直すと、いつからか使っているGoogle Chromeが入っています。Android 4.0 (Ice Cream Sandwich:ICS)以降のAndroidで使えるようになっていて、Android 5 (Lollipop)では標準ブラウザの地位に就きました。
Google Chrome
Googleが開発しているChromeは、2008年9月に鮮烈なデビューを飾り、「速くて軽く高機能」とこぞって乗り換えました。
私も他に乗り換えようかと最近は思い始めましたがずっと使っています。
Chromeでパスワード管理
いつの頃からか、パスワードをGoogle Chrome上で管理していました。褒められたことではないのは分かるのですが、毎日何かしらログインする必要があって、パスワードもマトモな文字列にして、サービスごとにIDとパスワードを違うものを使って、覚えられるわけがありません。
一時期、パスワード管理ソフトを使ってみたりもしましたが、Googleのサーバー以上にセキュリティが高いのかというと微妙ですし、やっぱり不便です。
ふと気づいたら、保存されているパスワードが400組に近づいていました。
Chrome上に保存されたパスワード
Googleサーバーでは、パスワードは暗号化されて保存されているはずです。また、Chrome上でも暗号化されて保存されています。(暗号化に使うキーを自分で作るか、Googleのログイン情報を使うか、選択できます。)
が、落とし穴が2つあります。
Chrome上では見られる
割と有名な話ですが、Chrome上では暗号化されていない状態で見られる場合があります。
保存されたパスワード一覧
chrome://settings/passwords
Chromeのアドレスバーに、上記を打ち込むとChromeに保存されたパスワードを閲覧する設定画面を表示できます。
Chrome上では、
- (メニュー)
- 設定(S)
- 詳細設定を表示…
- パスワードとフォーム
- パスワードの保存を確認する パスワードを管理
で「パスワードを管理」をクリックすることでも表示できます。
パスワードの表示
リストアップされたパスワードリストを見ると、URLとIDが暗号化されていない状態でリストアップされていて、パスワード部分は●●●のように見えない状態になっています。
これを一つ選んで、「表示」をクリックすると、
パスワードの入力画面が出てきます。ここで入力するのは、Googleアカウントのパスワードではありません。現在、システム(Windowsなど)を使っているアカウントのパスワードです。
ログインにパスワードを使わない設定になっているシステムでは、パスワードの入力画面が出ることなく、保存されているパスワードが表示されてしまいます。
保存されたパスワードは使える
保存されたパスワードを見るためには、システムへのログイン情報が必要になります。でも、Chromeにアクセスできる状態なら、どこのサイトでパスワードを保存しているかと、IDは分かってしまいます。
そしてそのサイトへ移動すると、自動的にパスワードを入力してくれます。
そう、Chromeの画面にアクセスされた時点でセキュリティはほとんど破られているのです。(銀行のサイトなどでは、取引パスワードがさらに必要になったり、追加のセキュリティ対策があります)
Androidスマートフォン
Androidのスマートフォンは、Googleアカウントがないとアプリマーケット(Google Play Store)も使えませんので、一つ以上のGoogleアカウントと紐付けられていると思います。
Android 4.0以降ではChromeをインストールして使用できます。Android 5.0以降ではChromeが標準になっています。
私はAndroid 5.1.1を使っているので、標準ブラウザがChromeに置き換えられています。
何が嫌かというと、PC版のChromeで保存しているパスワードとの同期が、Googleパスワードを追加入力しないで行われることです。
PC版のChromeでは、Chromeからのログアウトを実行すると保存したデータをPCから削除できます。また、再度Chromeにログインする場合にはパスワードの入力を求められます。
が、Android版のChromeでは、Googleのアカウント設定で同期をさせるだけです。パスワードを読み込むかどうかも、Chrome上の設定で設定するだけです。パスワードの追加入力はありません(でした、私の端末では)
さらに、2段階認証を行っていたとしても携帯電話を複数使い分けしているのでなければ、その端末にSMSで認証コードが送られてしまいます。
何が怖いかというと、今回のStageFrightのような脆弱性やマルウェアによってハッキングを受けた場合、Googleアカウントに保存された認証情報がすべて流出してしまうのです。
後からインストールしたChromeも同期
アカウント同期の挙動をRoot化したAndroid端末でCyanogenModを使って試してみました。
- Chromeをプリインストール
- 普通の状態と同じで同期されました
- Play StoreからChromeをインストール
- 普通の状態と同じで同期されてしまいました。
Chromeがプリインストールされているために起こっているわけではなさそうです。なので、同じことはAndroid 4.0でも起こると思います。
そのため、PCでChromeを使用している限り、Android上でFirefoxやOperaなどをメインにしていたとしても、ハッキングを受けた場合にはChromeを操作されてしまうとパスワードが危険に曝されると思われます。
対策・・・
ということで、私が取った当面の対策としては
- Chromeへのログイン専用のGoogleアカウントを作成
- ログイン用アカウントにつながる情報をAndroid上で使用しているGoogleアカウントから見えないよう
- Android端末からはChromeログインアカウントを使用しない
ことにしました。
Firefoxに戻ろうかとも思っているのですが、Firefoxは他のブラウザと挙動が違って表示崩れが起こることもあるので、メインで使うのはちょっと嫌ですね。
パスワード管理
各種サイトのログインパスワードの管理には、いくつか考えられる方法があります。
- 同じID/パスワードを使いまわす
- 同じID/パスワードで、サイトURLなどを付け加える
- ID/パスワードを分ける
1は論外で、2も結構厳しいです。何を付け加えたか忘れてしまいます、ろくなことはありません。
3ですが、今Chromeに保存されているID/パスワードの組み合わせは400あります。。。大事なパスワードは保存していないので、ざっと450組のID/パスワードがあります。
覚えるのは、無理ですね。頻繁にログインするものだけは覚えているのですが、しばらくログインしないと忘れてしまいます。
覚えておく方法
パスワードを覚えておくのには、
- 画面に貼る
- テキストファイルで保存する
- ノートに書く
- パスワード管理ソフトを使う
- ブラウザに保存する
などの方法があります。個人で使っているパスワードは、今はノートに書くのとブラウザに保存しています。仕事のデータを暗号化したパスワードは、紙に書いてデータとは別の場所にある金庫に入れています。
個人で使うパスワードの管理としては、ブラウザなどのクラウドスペースのほうが、ノートよりも安全性が高いような気はしますが、流出したときのダメージは大きいです。
Mozilla(Firefox)とGoogle(Chrome)のどちらがデータ管理に気を使っていそうかというとやはりGoogleだと思うので、Firefoxにパスワードを保存するのはちょっと躊躇われます。
IT企業や政府の機密情報も盗られる時代ですが、できるだけの対策としてアカウントを分けました。
コメント