Oligur

• ニュース

セキュリティ研究者によると、Appleのファイル共有システムに存在するセキュリティ上の欠陥により、AirDropユーザーのメールアドレスやその他の個人情報を他人が閲覧できる可能性があるという。この脆弱性を悪用するには、AirDropユーザーとWi-Fiデバイスとの物理的な近接性のみが必要となる。

研究者らは2019年5月にAppleにこの脆弱性を報告したと報じられているが、未だ修正されていない。そのため、15億台以上のAppleデバイスが脆弱な状態にある可能性がある。

AirDropを使えば、iPhone、iPad、Macユーザーは近くのデバイスと写真や書類などのファイルを簡単に共有できます。便利なのですが、どうやら思ったほど安全ではないようです。

ドイツのダルムシュタット工科大学の研究者によると、この問題はAirDropがユーザーが連絡先に登録されているかどうかを確認する方法に起因しているという。AirDropは、受信者候補の電話番号とメールアドレスを、送信者のアドレス帳に登録されている情報と照合する。

このデータは暗号化されていますが、Appleはやや弱いハッシュメカニズムを使用していると報じられています。そのため、悪意のある人物が個人情報を発見できる可能性があります。

セキュリティ研究者たちは、AirDropの脆弱性に対する修正プログラム「PrivateDrop」を開発したと述べています。しかし、Appleは未だにこのバグを修正しておらず、提案された解決策も採用していません。

「これは、15億台を超えるAppleデバイスのユーザーが、依然として前述のプライバシー攻撃に対して脆弱であることを意味します」と研究者らは述べています。「ユーザーが自らを守るためには、システム設定でAirDropの検出を無効にし、共有メニューを開かないようにするしかありません。」

Appleのセキュリティ対策

概して、Appleはプライバシーと暗号化の両面で非常に強固な体制を敷いています。これは、数年前、銃撃犯の容疑者が所有していたiPhoneの解読にFBIが協力するかどうかをめぐって同社とFBIが対立したことに象徴されています。

クパチーノは、セキュリティ研究者がAppleソフトウェアで発見したバグを報告できる複数の報告メカニズムを導入しました。Appleはバグ報奨金という形で、それなりの報酬も提供しています。しかし、このシステムは完璧ではありません。過去には、Appleが深刻なバグをタイムリーに修正できなかったことがありました。

AppleがAirDropの脆弱性の修正にこれほど時間がかかった理由は依然として不明です。また、この脆弱性が実際に使用されたことがあるのか​​どうかも明らかではありません。たとえ使用されていなかったとしても、潜在的に深刻な影響を及ぼしかねないため、早急にパッチを当てる必要があります。Appleが今後のソフトウェアアップデートでパッチを当ててくれることを期待しましょう。

出典: Informatik.tu

出典: 9to5Mac