テクノロジー

2018.09.28 12:00

アップル最新macOS「Mojave」に浮上のセキュリティの懸念

pisaphotography / Shutterstock.com

pisaphotography / Shutterstock.com

アップルは9月24日、最新macOS「Mojave(モハベ)」を公開した。改良点や新機能が盛り込まれており、アップルはユーザーのプライバシーを第一に考えていることを強調した。

今回のMojaveで注目すべきは、プライバシー保護とセキュリティ―が強化されたことだ。「Intelligent Tracking Prevention」機能では、広告主がサファリのデータを悪用できないようにしている。堅牢なパスワードを生成・管理するためのツールが搭載され、アプリがメールなどのセンシティブな情報を得ようとする場合には、ユーザーの同意が必要になった。

だが、新機能も万能ではないことをセキュリティ専門家が発見した。

セキュリティ企業「Digita Security」のPatrick WardleはMojaveのプライバシー保護機能をバイパス(迂回)する方法を見つけた。Vimeoに投稿された動画では、Mojaveではアクセスできないはずのアドレス帳のデータにアクセスする様子が映し出されている。

Wardleがまずアドレス帳にアクセスしようとすると、許可するかどうかを問うポップアップが出る。そこで「許可しない」をクリックすると「許可のない操作」というメッセージが表示され、アクセスが拒否される。しかしその後、独自のスクリプトを使って許可なくバックドアからアクセスし、名前とアドレスを抽出する様子が動画には映っている。

セキュリティ関連サイト「BleepingComputer」にWardleが語ったところによると、アドレス帳に不正にアクセスできたことは「マイナーながらも確実な(アップルの)実装の欠陥」を悪用したものだ。使ったコードは公開していないが、11月に行われるセキュリティカンファレンス「 Objective By The Sea」でプレゼンテーションを行う予定だという。

さらに今回の手口は「万能なバイパス方法」ではないとテッククランチに語ったが、保護されるべき情報へのマルウェアによる不正アクセスを許してしまう恐れもある。

問題が浮上したからにはアップルがパッチを作成するだろう。さもないと、Mojaveに導入されたプライバシー保護機能は、いかなる状況でも安全であると声を大にして自慢できるものではなくなる。アップルにコメントを求めたが、返答は得られなかった。

編集=上田裕資

タグ:

advertisement

ForbesBrandVoice

人気記事