Close RECOMMEND

I cover crime, privacy and security in digital and physical forms.

Photo by Suganth on Unsplash

アップルのiPhoneは、最高水準のセキュリティを備えているが、完全に無敵という訳ではない。グーグルのセキュリティ研究者によって、他人のiPhoneの内部のデータを、100メートルも離れた場所から盗み出すことが可能だったことが明かされた。

アップルは既にこの弱点を解決するためのOSの修正パッチを配布済みだが、グーグルのProject ZeroチームのIan Beerによると、この攻撃はシングルボードコンピュータのRaspberry Piと、2つのWiFiアダプターを使って行うもので、100ドルほどの投資で実行可能だったという。

Beerが公開したデモ動画では、彼が別の部屋にあるiPhone 11 Proに忍び込み、撮影されたばかりの写真や動画を盗み出す模様が収められている。さらに、彼が作成した「インプラント」は端末内のすべてのメールや写真、メッセージ、iCloudキーチェーンなどの個人データにもアクセス可能になっていた。

「インプラントを送り込むためには約2分間が必要だが、より多くのエンジニアリング投資を行えば、10秒程度まで短縮することも可能だ」と、Beerは述べている。さらに、忍び込んだ端末を踏み台として、周囲にある端末のデータにアクセスすることも可能だという。

Beerによると、これはアップル独自のメッシュ・ネットワーク・プロトコルである「Apple Wireless Direct Link(AWDL)」の脆弱性を突いた攻撃だという。

AWDLは、エアドロップ(Airdrop)を含むiOSデバイス間のピアツーピア通信を可能にする技術だ。彼は、この機能を用いてWi-Fiネットワーク内にある別の端末と接続を行い、端末内部のメールや写真、メッセージ、パスワードなどを盗み出すことに成功した。

しかし、幸いなことにこの脆弱性をハッカーが悪用した証拠は無く、Beerはこの問題を公開する前にアップルに報告し、すでに脆弱性は修正されている。

アップルの広報担当者によると、ユーザーの大半はOSを最新版に保っており、Beerが指定した脆弱性が悪用される可能性は低いという。もう一つ、この攻撃を困難にする要素としてあげられるのは、ターゲットの端末が同じWi-Fiの範囲内にある場合に限られる点だ。

編集=上田裕資

PICK UP

あなたにおすすめ