「iPhone 13」が9月24日に発売され、注目が集まっているアップル。アップル製品といえば、セキュリティの安全性に定評がある。それもそのはず、同社ではセキュリティへの取り組みとして、バグを発見、共有した研究者に対して報酬を支払う「Apple Security Bounty」というプログラムを展開している。しかし今回、そのセキュリティに存在する脆弱性の内容が公開されたのだ……。
今回はセキュリティ研究者のillusionofchaos氏が公表した「iOSに関する4つの脆弱性」について紹介しよう。
脆弱性を放置してiOSをリリースしたアップルの対応
(Image:Robert Way / Shutterstock.com) アップルは新発売したiPhone 13で忙しくて対応できなかったのか……
illusionofchaos氏は、2021年3月10日から5月4日までの約2カ月間で、iOSに関する脆弱性を複数発見し、アップルに報告したとのこと。しかし報告した脆弱性のうちiOS 15.0までに修正が施されたのは、iOS 14.7で修正された1つのみ。残りの3つは放置されたままになっているという。同氏は以前からアップル側に説明を求めており、「回答が無い場合は3つの脆弱性を公開する」と警告していた。しかしアップルがこの警告を無視したため、脆弱性の詳細の公開に踏み切ったのだ。
また同氏は、今回の騒動でApple Security Bountyを痛烈に批判している。その背景には、同プログラムで以前から批判のあった「脆弱性が放置されている」「報奨金が不当に減額されている」といった問題も要因とのこと。次に、現時点(2021年9月29日現在)で放置されている3つの脆弱性を紹介しよう。
修正された脆弱性は、すべてのアプリが分析ログにアクセス可能になるものらしい
1つ目は、「ゲームに関する脆弱性」。App StoreからインストールされたアプリのうちGame Centerを利用するものは、ユーザーの操作がなくても端末データにアクセスできる。2つ目は、「Nehelperに関する脆弱性」。ユーザーがインストールしたアプリが、任意のIDを指定することで端末にインストールされている他のアプリを特定できる。3つ目は、「Nhelper Wi-Fiに関する脆弱性」。特定の条件を満たしたアプリがユーザーの許可なくWi-Fi情報にアクセスできるようになってしまうもの。
セキュリティツールを開発しているObjective-Seeの創始者であり、セキュリティ研究者でもあるPatrick Wardle氏は、「広く悪用される可能性は低い。脆弱性を悪用しようとするアプリは、最初にアップルの承認を得てApp Storeで配信される必要がある」という見解を述べているが、その一方で「アップルが既知のバグを含むiOSをそのままリリースが問題である」と、アップルの対応については批判している。
全てのバグの修正を即座に対応するのはマンパワーの上でも難しいものがあり、優先順位をつけて修正対応に当たっているのであれば仕方ないと言えるかもしれない。しかしだからといって単に放置していたのであれば、ユーザーに何の発表もないのは批判されてもおかしくない。今後のアップルの動向にも注目したい。
参照元:iOS 15にある3つのゼロデイ脆弱性をセキュリティ研究者が公表、理由は「Appleのバグ報酬プログラムが機能していないから」【GIGAZINE】
※サムネイル画像(Image: Velimir Zeland / Shutterstock.com)
