Apple and Google Join Forces to Stop Unauthorized Tracking Alert System
2023/05/03 TheHackerNews — Apple と Google が連携して取り組み始めたのは、たとえば AirTags のようなデバイスが悪用され、ユーザーの知らないうちに追跡されている場合に警告し、安全上のリスクを取り除くための仕様のドラフトである。両社は共同声明で、「この業界初の仕様により、Bluetooth 位置追跡デバイスは、Android/iOS プラットフォームにおいて、不正な追跡の検出と警告の対象になる」と述べている。
このような追跡デバイスは、個人の持ち物である、カギ/財布/荷物などを監視するために設計されているが、その一方では、ストーカー行為/嫌がらせ/窃盗などの悪意の目的のために悪用されることもある。
そこで、アラート・メカニズムを標準化し、それぞれのベンダーの位置追跡デバイス間での、誤用の機会を最小限に抑えることが必要になってくる。この試みに参加する企業として、すでに Samsung/Tile/Chipolo/eufy Security/Pebblebee などが手を上げている。
この仕様の標準化により、各社が製造するトラッキング・デバイスは、一連の指示と推奨事項を遵守し、iOS/Android デバイスで不正なトラッキングが行われた場合には、ユーザーに対して通知することが求められるようになる。
その仕様書によると、製造業者向けの一連のベスト・プラクティスを公式化することで、さまざまなスマートフォン・プラットフォームにおいて、不要な追跡検出テクノロジーとのスケーラブルな互換性を実現し、個人のプライバシーとセキュリティを改善できるとされている。
この不要な追跡の検出により、所有者のデバイスから分離された位置追跡デバイスが、一緒に移動していることを検出され、その個人に対して警告が発せられる。さらには、追跡デバイスを発見して、無効化する手段も提供できる。
提案された仕様における重要なポイントは、ペアリング登録の使用にある。この登録に含まれるのは、アクセサリーのシリアル番号に加えて、アクセサリー所有者の検証可能かつ難読化された、電話番号や電子メールアドレスなどの身元情報である。
そして、デバイスのペアリングが解除された後に、最低で 25日間はデータを保持し、有効なリクエストを提出すれば、ペアリング登録が法執行機関に提供されるという。
両社は、関係者からのフィードバックを求めている。そして、フィードバックをハネイした上で、不要な追跡を警告する仕様のプロダクション実装が、2023 年末までに Android/iOS エコシステムでリリースされる予定だ。
これまでにも Apple と Google は、COVID-19 の流行時に、Bluetooth Low Energy (BLE) ビーコンを利用した、システム・レベルのプラットフォームを考案し、位置情報を使用せずに接触者の追跡を可能にしたことがある。
AirTags などの追跡デバイスを、便利に使う人々もいるのでしょうが、便利であれば不便も生じますね。ただし、使っているはずのない AirTags を、クルマやカバンに仕込まれるというケースも、後を絶たないはずです。その意味で、この Apple と Google の対応には酸性ですが、両社が行うべき後始末の1つに過ぎないとも言えます。
2023/01/01:Google の同意なき追跡:米国で $29.5M の罰金
2022/11/14:Google に $391M の罰金:不誠実な位置情報の収集
2022/08/16:産業用位置情報システム RTLS に深刻な脆弱性
2022/08/13:Google に $60M の罰金:不正な位置情報収集
2022/07/19:GPS トラッカーに深刻なゼロデイ脆弱性
IoT OT Security News 
You must be logged in to post a comment.