パスワードを忘れた? アカウント作成
Close
16719507 story
携帯電話

複数のSMSの応答遅延からスマホ所有者の位置を特定するサイバー攻撃が提唱される 23

ストーリー by nagazou
特定しました 部門より
ITmediaの記事によると、米ノースイースタン大学などの研究者らは、SMS(Short Message Service)を送ることで相手のスマートフォンの位置を特定するサイドチャネル攻撃に関する研究報告を発表した(ITmedia)。

この攻撃では、攻撃者はユーザーのスマートフォンに複数のテキストメッセージを送信。ユーザーの自動配信の返信のタイミングによって、ユーザーの位置を三角測量で特定できるというものだという。

実験の結果、近隣の国の場合では最大75%、遠くの国では最大96%の正確さで位置を特定できるという。また、ドイツやオランダ、ベルギーなどの国内あるいは特定の地域内では、多くの場合において70%以上の正確さを達成したとしている。この攻撃は、スマートフォン端末を所有し、ネットワーク事業者に加入している全てのユーザーに到達可能とされ、必要なのは被害者の電話番号のみであることから実用性が高い攻撃だとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数のSMSの応答遅延からスマホ所有者の位置を特定するサイバー攻撃が提唱される More

  • 複数のSMS (スコア:1)

    by nemui4 (20313) on 2023年08月10日 17時21分 (#4508955) 日記

    連続で届いたら機内モードにする?

    • Re: (スコア:0)

      by Anonymous Coward

      途中で機内モードにされた可能性も考慮して分析すればいいだけだね

    • Re: (スコア:0)

      by Anonymous Coward

      ストーリだとユーザーがSMSに返信するかのような書き方をしていますけど、実際はSMSのデリバリーレポートを使うんですね。

      これは、通信キャリアがSMSを送れたか失敗したか送信者に伝えるもので、受信した時点で送信者は受け取ることができてしまいます。

      さらに、論文で送信されたのはサイレントSMSというもので、これは受信側は気づけないんですね [security.srad.jp]。

      気づくことはできないし、(ワクチンとかで電波受信になることで)気づけたとしても既に届いたSMSから位置を類推されてしまいますね。

      • Re: (スコア:0)

        by Anonymous Coward

        デリバリーレポートの通知を最大1~9秒ランダムで遅らせるようにキャリアが対策すれば良さそう

        • Re: (スコア:0)

          by Anonymous Coward

          単純なランダム(偏りのないランダム)だと、SMSを数回投げることで何秒遅れたか推測されてしまいそう(1~9秒なら平均して5秒引けば真の到達時間に近づきそう)なので、
          送り先ごと、送信時ごとにドリフト値を固定するとかが必要そう。

  • 犯罪捜査に使用できるかもと思いましたが、一部の犯人は対処済みのようです。
    走行中の車内から電話、オレオレ詐欺容疑で逮捕 「移動型アジト」か [asahi.com]

    ただ他の捜査手法で逮捕されるようですが。

    --
    -- う~ん、バッドノウハウ?

  • 正確さ (スコア:0)

    by Anonymous Coward on 2023年08月10日 17時39分 (#4508968)

    > 近隣の国の場合では最大75%、遠くの国では最大96%の正確さで位置を特定できるという

    この場合の「正確さ」ってなんだろう。
    どこの国にいるのか75%の精度で分かるということかな。

    • Re: (スコア:0)

      by Anonymous Coward

      さすがに国レベルの位置だとパンピーにはあんま関係なさげだな

    • Re: (スコア:0)

      by Anonymous Coward

      また、ドイツやオランダ、ベルギーなどの国内あるいは特定の地域内では、多くの場合において70%以上の正確さを達成したとしている。

      とも言っているんだから国レベルが限界ってことはなかろう。

    • Re: (スコア:0)

      by Anonymous Coward

      LINEならもっと正確だぜ

  • んあ? (スコア:0)

    by Anonymous Coward on 2023年08月10日 19時22分 (#4509043)

    攻撃を提唱したら幇助にならんかね
    問題提起を提唱にすり替えちゃあかんでしょ

    # 相手方によってはゴメンじゃ済まないかも

    • 何をいまさら (スコア:0)

      by Anonymous Coward

      セキュリティの世界では「こういう攻撃が可能」というのを探し出してどんどん公開しないと、実際に悪用されるまでその攻撃手法の存在を知ることができないため対策が後手に回る。
      スラドの過去記事を探せばこの手の研究報告がたくさんありますよ。

      • Re: (スコア:0)

        by Anonymous Coward

        セキュリティの世界では「こういう攻撃が可能」というのを探し出してどんどん公開しないと、実際に悪用されるまでその攻撃手法の存在を知ることができないため対策が後手に回る。
        スラドの過去記事を探せばこの手の研究報告がたくさんありますよ。

        別に公表することを避難してないよね
        「問題提起を提唱にすり替えちゃあかんでしょ」をどう縦読みしたの?

        • Re: (スコア:0)

          by Anonymous Coward

          > 相手方によってはゴメンじゃ済まないかも

          がなければそうだったかもなぁ

          • Re: (スコア:0)

            by Anonymous Coward
            提唱が「こうするのおすすめだよ☆」みたいなもんだから、発表した研究者さんが攻撃するのをおすすめしてるように読めてしまって、相手によっては訴えられね?って言ってるのでは。

            • Re: (スコア:0)

              by Anonymous Coward

              悪用される可能性を提唱したら幇助扱いになり逮捕される日本しぐさですね

              • Re: (スコア:0)

                by Anonymous Coward
                悪用される可能性についての研究だってのは本文を読まないとわからないから、元コメの人はタイトルの字面だけだと意味が違うからダメって言ってるんでしょね。
                実際にこのタイトルを読んだ当事者が訴えるかっていうとどうかと思うし、細かいことが気になる人もいるってことで。

            • Re: (スコア:0)

              by Anonymous Coward

              あなたの中では「提唱」ってそういう意味なんですね

              • Re: (スコア:0)

                by Anonymous Coward
                普通にそういう意味で使われてません?

      • Re: (スコア:0)

        by Anonymous Coward

        横レスだけど、親コメはタイトルの「攻撃を提唱」に嚙みついてるだけで、記事の内容や意義を否定してるわけじゃないんじゃないかな。「提唱」は肯定的な意味で使うわけだから。英訳のproposeやadvocateもそう。ニュートラルな「発表」とか否定的な「懸念」とかなら揉めなかったと思う。正確に言うと「攻撃の可能性を提唱」なんだろうけど、文字数は増やしたくないんだろうし。

  • 13年式Gトラクター買いたし (スコア:0)

    by Anonymous Coward on 2023年08月10日 21時29分 (#4509102)

    やはりアナログな連絡手段しか持たないゴルゴは正しかった。

    • Re: (スコア:0)

      by Anonymous Coward

      駅の掲示板を使う冴羽獠も

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」