知らぬ間に“自宅ビュー”を撮影されている恐怖、AndroidマルウェアのPoC

　持ち主の知らぬ間にスマートフォンのカメラで周囲を断片的に撮影、外部サーバーに送信して解析・合成することで、家の中の3D映像モデルを生成する――。こうした“バーチャル空間泥棒”が十分に実現可能であることを示すAndoridマルウェアが、米国の研究者によって開発されたという。セキュリティベンダー英Sophosの10月2日付公式ブログで、ボストン在住のアナリストPaul Roberts氏が報告している。

　これは「PlaceRaider」と呼ばれるアプリで、米インディアナ大学の研究者らが実証コード（Proof of Concept：PoC）として開発、9月27日に論文として発表したもの。カメラのほか、GPSや加速度センサー、ジャイロセンサーなどの空間データを悪用する。スマートフォンが高機能化するのにともなって出てきた悪用法と言えるが、特にAndroid APIでは、アプリがこれらのセンサー情報にアクセスするために特別なパーミッションを必要としないために、こうした用途には向いているのだという。すなわち、カメラアプリなどに組み込んで配布し、インストール時の各種パーミッションの同意をすり抜けてしまえば、あとはPlaceRaiderが自由に動作できるというわけだ。

　生成された3D空間の中を攻撃者が見て回り、重要な情報を見つけたら、その部分の高解像度写真を表示（ズーム）させるようなツールも作成されたという。

　研究者らは、アプリからセンサー情報へのアクセスに対してパーミッションを求めることや、アプリがセンサーを使用している際にはユーザーへのアラートを出すこと、あるいはカメラの使用は物理的操作を必要とすること、シャッター音なしに撮影されないようにするといったことで、こうした攻撃手法は防止できると指摘。スマートフォンのメーカーに対して仕様変更を推奨しているという。