ロシアの携帯電話解析会社2社による法廷闘争において、アップルのオペレーティングシステム、iOS 16に「ゼロデイ」脆弱性がある可能性が明らかになった。
CEOのウラジミール・カタロフが創業したElcomsoftは、競合するMKO-Systemsを訴えた裁判で、iOS 16の動作しているiPhoneに奥深く侵入し、隠されたパスワード、位置情報、閲覧履歴、写真などの個人情報を取得するコードを、MKOが自社から盗んだと主張している。Elcomsoftの顧客である法執行機関にとって、それらのツールは極めて有用であり、ロック解除されたiPhoneから、通常の方法よりも多くのデータを抽出することができる。
その種の解析調査ツールが機密データを収集するには、iOSの脆弱性を利用する必要がある。セキュリティ専門家のブルース・シュナイアーによると、このようなツールはゼロデイとして知られるパッチが適用される前の欠陥や、iOS 16のさまざまな脆弱性を利用している可能性があるという。しかし、元NSA(国家安全保障局)のスタッフで現在はサイバーセキュリティ分析会社のIANS Researchに在籍するジェイク・ウィリアムズは、ハッカーらは「誰も知らないデータ構造か難読化アルゴリズムをリバースエンジニアしている」可能性が高いと語った。アップルが9月に公開したiOS 17が同じ影響を受けるかどうかはわかっていない。
カタロフは彼のソフトウェアが利用している脆弱性の内容についてはコメントを避けた。アップルは複数回のコメント要請に応じなかった。MKO-Systemsもコメントの要請に応じていない。
Elcomsoftが訴えた相手はMKOだけだが、同訴訟では、同じ盗まれたコードが米国拠点のライバル会社であるOxygen ForensicsのiPhone解析製品でも使用されていると主張している。Oxgenは、MKOの立ち上げにも協力した2名のロシア人起業家、オレグ・フェドロフとオレグ・ダビドフが創業した会社だ(Oxgenはコメント要請に応じていない)。
