NEW

iOS 15の3つのバグを研究者が公開、公表に踏み切った驚きの理由とは…

文=オトナライフ編集部
【この記事のキーワード】

, , , ,

生活をもっと楽しく刺激的に。 オトナライフより】

「iPhone 13」が9月24日に発売され、注目が集まっているアップル。アップル製品といえば、セキュリティの安全性に定評がある。それもそのはず、同社ではセキュリティへの取り組みとして、バグを発見、共有した研究者に対して報酬を支払う「Apple Security Bounty」というプログラムを展開している。しかし今回、そのセキュリティに存在する脆弱性の内容が公開されたのだ……。

今回はセキュリティ研究者のillusionofchaos氏が公表した「iOSに関する4つの脆弱性」について紹介しよう。

脆弱性を放置してiOSをリリースしたアップルの対応

iOS 15の3つのバグを研究者が公開、公表に踏み切った驚きの理由とは…の画像1
(Image:Robert Way / Shutterstock.com) アップルは新発売したiPhone 13で忙しくて対応できなかったのか……

 illusionofchaos氏は、2021年3月10日から5月4日までの約2カ月間で、iOSに関する脆弱性を複数発見し、アップルに報告したとのこと。しかし報告した脆弱性のうちiOS 15.0までに修正が施されたのは、iOS 14.7で修正された1つのみ。残りの3つは放置されたままになっているという。同氏は以前からアップル側に説明を求めており、「回答が無い場合は3つの脆弱性を公開する」と警告していた。しかしアップルがこの警告を無視したため、脆弱性の詳細の公開に踏み切ったのだ。

 また同氏は、今回の騒動でApple Security Bountyを痛烈に批判している。その背景には、同プログラムで以前から批判のあった「脆弱性が放置されている」「報奨金が不当に減額されている」といった問題も要因とのこと。次に、現時点(2021年9月29日現在)で放置されている3つの脆弱性を紹介しよう。

iOS 15の3つのバグを研究者が公開、公表に踏み切った驚きの理由とは…の画像2
修正された脆弱性は、すべてのアプリが分析ログにアクセス可能になるものらしい

 1つ目は、「ゲームに関する脆弱性」。App StoreからインストールされたアプリのうちGame Centerを利用するものは、ユーザーの操作がなくても端末データにアクセスできる。2つ目は、「Nehelperに関する脆弱性」。ユーザーがインストールしたアプリが、任意のIDを指定することで端末にインストールされている他のアプリを特定できる。3つ目は、「Nhelper Wi-Fiに関する脆弱性」。特定の条件を満たしたアプリがユーザーの許可なくWi-Fi情報にアクセスできるようになってしまうもの。

 セキュリティツールを開発しているObjective-Seeの創始者であり、セキュリティ研究者でもあるPat…

続きは【オトナライフ】で読む

情報提供はこちら
RANKING
  • IT
  • ビジネス
  • 総合