先週、こんな記事を見かけました。

japanese.engadget.com

調査対象となったのは、Apple Watch、Basis Peak、Fitbit Charge HR、Garmin Vivosmart、Jawbone UP 2、Mio Fuse、Withings Pulse O2 の8機種。

報告によれば、このうち7機種で通常使用中に継続的に追跡が可能な識別子となる MAC アドレスが確認できたとのこと。また Jawbone と Withings のアプリでは、偽の活動記録をも生成できたとしています。

さらに、iOS/Android 向けの Garmin Connect アプリ、Android 版 Withings Health Mateアプリにも問題があり、最終的に8機種中7機種で第三者からのデータ取得、書き込み、データ削除などができたとのこと。一方、この調査では Apple Watch からはセキュリティ上の問題は発見できませんでした。

Fitbit Charge HR ユーザーとしてはかなり気になったので、原文を軽く読んでみることにしました。

https://openeffect.ca/reports/Every_Step_You_Fake.pdf

photo by jdoclot

問題があった商品

この調査で大きな問題があったのは、以下の商品のようです。

Garmin Vivosmart

• ネットのログイン情報が暗号化されていないので、パスワードが読み取られる。ネット上で情報を読み取られる
• データの読み書きをされる。

Jawbone UP 2

• 高度な手を使えば、フィットネスデータを書き換えることができる。

Withings Pulse O2

• Androidアプリにセキュリティホールあり、ユーザーIDとパスワードが平文でネット上を流れている。

GarminとWithingsの、パスワードがインターネット上を平文で流れる、というのはかなり致命的な問題と感じます。個人的にはこの2社の製品を今後しばらく選択することは無いと思います。

Apple Watch以外のプライバシーリスク

また、AppleWatch以外のフィットネストラッカーはすべて、bluetoothのプライバシーに関わる問題があるそうです。 具体的には、"Bluetooth advertising packets"という常時出ているパケットに含まれる、端末のIDであるMACアドレスが殆どすべてのケースで不変なので、近隣のスマホなどで探知すれば、同一人物がいつ、近くにいるかどうかが追跡できる状態になっているようです。ストーカー的な人に使われるとまずいですね。

"Bluetooth advertising packets" については下記サイトに説明がありましたが、どうやら、常に出ている信号のように見えます。

Bluetooth LEの解説本、第1章 - Reinforce-Lab.'s Blog

Bluetooth LEは、そのデバイスをiPhoneに発見してもらうために、アドバタイズメント・パケットを送信します。このアドバタイズメント・パケットは、周囲の端末が受信できる、ブロードキャストです。このパケットの受信信号強度から、デバイスとの距離がおおまかに算出できます。また、このパケットには、20バイト程度の任意のバイト・データを入れられます。これを屋内測位や位置ビーコンに応用できます。

慎重な選択が必要

小規模スタートアップ企業の製品は、スピードと機能を重視するかわり、セキュリティとかプライバシーは軽視される傾向があるので、身体情報、位置情報など変更のききにくい個人情報を利用するアプリや、電波やネットワークを使う製品を選ぶ際には、ある程度大きくて、セキュリティ、プライバシー管理能力がある会社であることを判断できる会社の製品を選択する必要があるかもしれません。