2018/06/01

Android (7.1.1): 設定: 画面ロック - 端末データの暗号化の強化に画面ロックが使えない?

(以下、モトローラのmoto g5s, Android 7.1.1の場合)

「セキュリティ」→「画面ロック」で、スマホのロックをかけるか、かける場合のロック方法を設定する。

ロックとは、許可されない人が勝手にスマホを使えないようにする機能。Androidスマホのロックには、電源をオンにするのを制限する「起動ロック」、通話やモバイル通信を制限する「SIMロック」、画面の表示を制限する「画面ロック」がある。「画面ロック」だけしっくりこないのは私だけか? 画面を見られないようにするためのロックだから、その通りなんだけど。

「画面ロック」設定にある設定ボタンからは、「自動ロック」、「電源ボタンですぐにロックする」、「指紋センサーで電話機をロックできます」、「ロック画面メッセージ」などの設定ができる。

実際の画面ロック方法は、「スワイプ」、「パターン」、「PIN」、「パスワード」から選択できる。「スワイプ」は、ロックにならないので注意。また、指紋認証は違う画面からの設定となる。

これらのそれぞらの項目の下に「ユーザー補助サービスがONに設定されているため、端末データの暗号化の強化に画面ロックは使用されません」という説明が出ている人が、結構いるはずだ。私も出ているが、ピンとこなかった。

そもそも、最近のAndroidではスマホ内のユーザデータは暗号化されている。ユーザデータはファイル単位で記録されるが、それを管理するファイルシステムの機能で、データファイルが暗号化されるようだ。

ファイルの復号化には「カギ」が必要になるが、この「カギ」が、画面ロックと連動する形で保護されているらしい。つまり、ファイルを復号化するにはカギが必要、そのカギは画面ロックを解除しなければ取り出せないようになっているらしい。

「端末データの暗号化の強化」とは、復号化の「カギ」が「画面ロック」と連動して保護されている、ということのようだ。

では、なぜ、「ユーザー補助サービスがON」になっていると「暗号化の強化」が使えないのか?

「ユーザー補助サービス」とは、いわゆるアクセシビリティの機能で、障碍者の方向けの機能のこと。例えば、電話がかかってきたら発信元の名前を読み上げてくれる、ウェブ、メール、メッセージを読み上げてくれる、通知の内容を読み上げてくれる、など。

電話の着信時やメッセージの受信時に、何かを読み上げてほしいとなると、ユーザデータをいつでも復号できないといけない。よって、復号に必要なカギをいつでも取り出せるようになっているということ。

だと、思う。

暗号化しなきゃいいのに、という考え方もあるが、多少でも保護はあったほうが良いだろうと思う。

惜しいなぁと思うのは、「ユーザー補助サービスをON」にしたつもりがなくても、このような状態になってしまうこと。特に、セキュリティソフトや、何らかのシステムユーティリティが、ユーザー補助サービスが提供する何かの機能を要求するため、これがONになってしまうのだ。

おそらくは、真にアクセシビリティがほしいからユーザー補助サービスをONにしたのか、そうではないのかを、区別できなければならないのだが、、、。あるいは、ユーザー補助サービスをOFFにしようとしたときに、どういうアプリに影響が及ぶか示してくれるとか、、、。

「ユーザ補助サービス」については、「Androidのユーザー補助サービス(Accessibility Service)は楽しい」に分かりやすく説明されている。ここには、「 開発者は良心に基づき最小権限で実装することが求められますが、AccessibilityServiceInfoの設定項目が非常に複雑な上、ユーザーのからの許可は「ユーザー補助」として一括で扱われるため正しい設定が難しくなっています」、「もっとも大きな問題点は「ユーザー補助サービスの権限があまりに強すぎる」というところ」、と書かれております。要は、便利なんだけど、設定が難しくなっているということのようだ。

また、ユーザ補助サービスはとても強力であるが故、ランサムウェアのベースの仕掛けにも悪用されてしまっているようだ。

で、元の設定の話に戻ると、「ユーザー補助サービスがONに設定されているため、端末データの暗号化の強化に画面ロックは使用されません」とは、若干、暗号化の強度が落ちるよ、といっているということ。端末データ自体は暗号化されている。

ここの画面の分かりにくさは、今、どの方法で画面ロックをかけているかの情報が失われていること。「セキュリティ」の「画面ロック」の下には現在設定されているロック方法が「PIN」「パターン」「パスワード」などど書かれているのだが、ユーザー補助サービスがONになっている場合、各ロック方法の下には「ユーザー補助サービスが、、、」との注意書きが書かれていて、今有効になっているのはどれかがわからなくなっている。

実は、ユーザー補助サービスがOFFの場合、いまこれ、というのがわかるように表示されるので、、、、、まぁ、、、バグの類かと。。おそらくは、有効に設定されているロック方法の下に「いまこれが有効だけど、ユーザー補助サービスが、、、」というように書かれているのが、ありがたいかなぁ。

そもそも複雑なので、わかりやすく説明するのは、難しいですなぁ。

0 件のコメント :

コメントを投稿