GrapheneOSのWifiプライバシー

GrapheneOSのWifiプライバシーに関する説明です。

「スマートフォンを安全にする」全般については、こちらをどうぞ

少々専門的過ぎてわからない部分が多々あるのですが、基本的にはこういうことだろうと思います。わかる方は教えてください。

  • GrapheneOSは、Pixelという機種のランダム化MACアドレスを利用しており、公衆Wifiに接続しても特定されることがない。例えば、「こいつは前回接続してきたやつだ」といった情報は得られない。そのほか、純正OSでは教えてしまうような情報も、GrapheneOSでは教えることはない。

もちろんこれは、Wifi接続レベルの特定がされないということだけであって、そのネットワーク接続の上で何をするかは全く別問題であることに注意。


 

Wi-Fiのプライバシー

GrapheneOSのWi-Fiは非常にプライバシーに配慮しており、アプリによって一意識別可能な情報がネットワークに漏らされない限り、基本的に匿名である(訳注:OS自体ではなく、インストールしたアプリによっては一意情報を流してしまい、特定されてしまう)。GrapheneOSは、明示した接続(デフォルト接続のFAQを参照)以外では、GrapheneOSと認識されることを避け、簡単に無効にしたり、VPNサービスを通じて強制したりすることが可能である。

スキャニング

Wi-Fiスキャンにおいて、常にMACランダム化が実行される。Pixelスマフォ(訳注:GrapheneOSが唯一対象としているGoogle製のスマフォ)は、MACランダム化のスキャンをファームウェアでサポートしており、通常の実装を大幅に超えている。他多くのデバイスでは、パケットシーケンス番号やプローブ要求内の各種識別情報など、MACアドレス以外の識別子がWi-Fiスキャンによって公開されることがある。

訳注:GrapheneOSが唯一対象としているGoogle製のPixelという機種では、MACアドレスのランダム化をサポートし、なおかつ、他情報を隠すことができるため、他の機種とは異なり、端末を特定する情報を取得されることがない。

SSIDをブロードキャストしていないAP(アクセスポイント、Wifiルータ)の使用は避けてほしい。既知の隠しSSIDはすべて、ネットワーク再発見のためのスキャンの一部としてブロードキャストされるためである。SSID は、標準的な非表示のAPではブロードキャストはされない。隠しAPは、デバイスが接続されていないときしか隠されないので、プライバシー機能としてはほぼ意味がない。特に、移動しないAPの場合、APの存在を知っても、移動しないので追跡には使用できない。この機能は、プライバシーを高めるどころか、むしろ低下させるのである。隠しAPを使用する必要がある場合は、保存したネットワークを後で必ず削除することである。

訳注:WifiリストにSSIDが表示されない隠しAPを使用することはほとんど無いと思われるが、もし使うとしても、プライバシーを増すわけではなく、意味が無いということ。

純正OS(訳注:Googleによる元から入っているAndroidのこと)と異なり、位置検出向上のためのWi-FiとBluetoothのスキャンは、GrapheneOSではデフォルトで無効化されている。これらは、「設定」➤「位置情報サービス」➤「Wi-FiとBluetoothのスキャン」で切り替えが可能である。これらの機能は、Wi-FiやBluetoothを無効にしてもスキャンを有効のままにするので、Wi-FiやBluetoothを無効にしたときに無線を完全に無効にしたい場合には、これらを無効にしておく必要がある。GrapheneOS自体には、現在のところWi-FiおよびBluetoothスキャンに基づく補助的な位置情報サービスは含まれていない。これらのオプションは、サンドボックス化されたGoogle Playなどのアプリに位置情報の許可を与えた場合に、その機能を使用できるかどうかに影響する。GrapheneOSは、位置情報を利用する際に、ネットワークベースのサービスではなく、ローカルのデータベースに基づくOSサービスを最終的には搭載する予定である。

訳注:現在位置の検出には通常GPSが使用されるが、GPS以上に正確な位置を割り出すために、Googleは「どのWifiに接続しているのか」等という情報にもアクセスしている。当然のことながら、これはGoogleがユーザをスパイするための一手段である。が、GrapheneOSにこの機能は無い。

アクセスポイント(AP)との関連付け

関連付けられたMACのランダム化は、デフォルトで実行される。これは、設定 ➤ ネットワークとインターネット ➤ インターネット ➤ <ネットワーク> ➤ プライバシーでネットワークごとに制御できる。

純正OSでは、デフォルトで各ネットワークに一意の永続的なランダムMACアドレスが使用される。「ランダムMACアドレスの使用 (デフォルト)」 と 「デバイスMACアドレスの使用」の二つの選択肢がある。GrapheneOSでは、デフォルトでは、ネットワークに接続する際に新たなランダムなMACアドレスが生成される。三つの選択肢を用意している。「接続ごとにランダムなMACアドレスを使用する(デフォルト)」、「ネットワークごとにランダムなMACアドレスを使用する」、「デバイスMACアドレスを使用する」である。

DHCPクライアントは、ホスト名を送信するのではなく、匿名プロファイルを使用するため、MACランダム化によるプライバシーを損なうことはない。GrapheneOSによって追加された接続ごとのMACランダム化を使う場合、ネットワークに再接続する前にDHCPクライアントの状態がフラッシュされ、以前と同じデバイスである可能性が明らかにならないようにする。

訳注:基本的にはデフォルトのままで、端末の特定は不可能と思われる。つまり、カフェやホテル等のWifiに接続しても、「前回接続したスマフォと同じ」といった情報は取得できない。

また、GrapheneOSは、安定したリンクローカルIPv6アドレスのサポートを無効にしている。リンクローカル端末は両方にアクセスできるため、(ランダム化された)MACアドレスに基づく典型的なリンクローカルアドレス生成を使用する方がより賢明である。Android 11では、MACランダム化が無効の場合のみ、安定したリンクローカル・プライバシー・アドレスを使用するため、この機能を無効にする必要はなくなった。

LTE専用モード

通信事業者から信頼できるLTE接続がある場合、設定 ➤ ネットワークとインターネット ➤ SIM ➤ 優先ネットワークタイプで2G、3G、5G接続を無効にして攻撃表面を減らすことができる。従来の音声通話は、LTE接続とVoLTE(Voice over LTE)対応、またはWi-Fi接続とVoWi-Fi(Voice over Wi-Fi)対応のいずれかの場合のみ、LTE専用モードでも機能する。VoLTE / VoWi-Fi は、キャリア携帯に制限されない限り、ほとんどのキャリアの GrapheneOS で動作する。一部の通信事業者では、当社独自のアプリが含まれていないため、VoWi-Fiが利用できない場合がある。AT&Tは、LTEサービスを5Geと表記することでユーザーに誤解を与えているため、LTE Onlyモードを有効にすると5Geが使用されているように見えることがあるが、これはAT&Tが意図的にLTEサービスを 「5Ge」と表記しているためだ。

この機能は、従来の通話やテキストの機密性を向上させるものではないが、ある種の傍受のハードルを多少上げる可能性がある。エンドツーエンドの暗号化された通話/テキストや、トランスポート層の暗号化の代わりとなるものではない。LTE は、基本的なネットワーク認証/暗号化を提供するが、それはネットワーク自体に対するものである。LTEのみの機能は、膨大な量のレガシーコードを無効化することで、リモートからの搾取に対するハードニングを意図しているに過ぎない。

訳注:正直、ここの記述は何を意味しているのかわかりません。

未分類

Posted by ysugimura