XPFの独り言

今朝、職場で教えてもらったのだが、iPhoneのiOS4がユーザーの行動履歴を保存していることが判明したのだとか。

ググってみると確かにこの話題だらけだ。何のためにこんな情報を記録しているのかは分からないけれど、外部に送信・公開されているというものではないらしい。

というわけで調べてみた。

記事によると、「consolidated.db」というファイル内に暗号化されることもなくおよそ10ヶ月分の基地局の履歴が保存されているのだとか。

この「consolidated.db」というファイル、本体内では、

/private/var/root/Library/Cache/locationd/consolidated.db

/var/root/Library/Cache/locationd/consolidated.db

の2カ所にあった。

もう一カ所同名のファイルがあったが、これは違うようだ。上記の2ファイルは全く同じ物。

システム内のファイルなので、普通はユーザーがアクセスできないが、iTunesに接続してパソコンにバックアップすることでアクセス可能となる。つまりパソコン内に保存されているiPhoneやiPadのバックアップファイルを調べることで、その持ち主の行動が分かってしまうことになる。

「consolidate.db」はSQLiteのデータである。SQLiteのデータを見ることができるツールを使えば中身が容易に見える。

というわけで覗いてみると「CellLocation」というテーブルがありこの中に、MCC、MNC、LAC、CI、Timestamp、Latitude、Longitude等々といったデータがあるわあるわ。

MCCはMobile country code

MNCはMobile Network code

LACはLocation Area code

CIはCID（Cell ID）

ということで、どこの国のなんという事業者を使っていたのかとか、どの基地局を補足していたのかということが丸わかり。SIMフリー機でSIMをとっかえひっかえ使っている場合はいつどの事業者のSIMで使っていたのかなんてことまでわかってしまう。

なおTimestampは2001年1月1日00:00(GMT）からの秒が記録されているので変換してやると実際の日時が分かる。LatitudeやLongitudeは基地局の緯度経度の情報だと思われる。

さらにこのdb内にはWifiLocationというテーブルもあった。こちらは補足した無線LANの親機の情報を記録しているようだ。こちらも日時情報や緯度経度の情報、無線LANの識別は親機のMACアドレスを記録している。

既にOS X 10.6用にこれらのデータを地図にプロットするソフト「iPhone Tracker」が公開されている。Windows用ツールが出てくるのも時間の問題だと思われる。

なお、こちらのサイトに「consolidated.db」をアップロードすると、GoogleMap上にプロットしてくれるので、興味のある人は試してみては。

自分の場合は昨年の8月30日から4月13日まで1634のポイントが記録されていた。記録のタイミングがいまいちどうなっているのかわからないが、出張で出かけた際の移動経路や帰省して徘徊した場所、普段の行動範囲が見事に地図上に表れた。なおポイント一つ一つにきちんとタイムスタンプが付いているので、過去の行動も思い出しやすい。

この「consolidate.db」さっきも書いたように、一般的にはユーザーがアクセスできない場所にファイルがあり情報が記録されており、普通はユーザーが消すとか中のデータを改ざんするといったことは行えない。これだけ世界的に話題になってしまっては、次のiOSのバージョンアップで何らかの手が加えられるかもしれないが、フォレンジック的にはおいしい情報だと思う。

本当は、この記事を書くにあたり、実際にSQLiteのファイル内にデータが記録されている状況や、プロットした地図などをキャプって載せようかと思ったのだが、やっぱり自分の個人情報だったりするので止めた。