「iOS 10」のiTunes経由バックアップに脆弱性、「アップデートで修正する」とApple

iPhone あるいはiPadのデータをMacあるいはPCにバックアップする際のアルゴリズムが「iOS 10」で変更され、クラックが従来より容易になったと、ロシアのセキュリティ企業が指摘した。Appleは今後のアップデートでこの脆弱性を修正するとしている。

» 2016年09月26日 08時01分 公開
[佐藤由紀子ITmedia]

 米Appleが9月14日に公開した新モバイルOS「iOS 10」のiTunes経由のMacあるいはPCへのバックアップで採用されたパスワード照合アルゴリズムは「iOS 9」のものよりかなりクラックしやすいと、ロシアのセキュリティ企業Elcomsoftが9月23日(現地時間)に公式ブログで指摘した。

 backup 問題になっているのは「このコンピュータ」へのバックアップだ

 ElcomsoftはパスワードのかかったiPhoneなどのスマートフォンのデータを取り出すツール「Phone Breaker」を開発している。このツールでテストしたところ、iOS 10のセキュリティチェックは、iOS 9のものよりおよそ2500倍弱いことが確認できたという。

 backup 2 ブルートフォース攻撃が約2500倍簡単になった(Elcomsoft)

 米セキュリティ企業のPeerlystによると、Appleはパスワード暗号化のアルゴリズムを、これまで採用していたハッシュ計算を1万回反復する「PBKDF2」から1回しか反復しない「SHA256」に変更し、これがブルートフォース攻撃を劇的に容易にするいう。

 Appleは米Forbesに対し、この問題について認識しており、今後のセキュリティアップデートで修正すると語った。「われわれはユーザーに対し、MacあるいはPCが強力なパスワードで保護されており、承認されたユーザーのみがアクセスできるようになっているかどうかを確認するよう勧める」としている。

 Appleが9月23日にリリースしたiOS 10.0.2ではこの問題はまだ修正されていない。

 なお、この問題はiTunes経由でMacあるいはPCにバックアップする方法にのみ影響するもので、iCloudへのバックアップには影響しない。iPhoneのバックアップ作成方法はAppleのサポートページを参照されたい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ