Apple、iPhoneエクスプロイトを詳解したGoogleを非難「標的はウイグルコミュニティだけ」
Appleが、8月末にGoogleがiPhoneへのエクスプロイト攻撃について解説したことが、ユーザーに誤った印象を与えたとして反論した。
米Appleは9月6日(現地時間)、米Googleの脆弱性調査プロジェクト「Project Zero」が2月に対策済みのiOSの脆弱性について、8月29日に詳しく解説したことが、iPhoneユーザーに誤った印象を与え、不安をかき立てていると公式ブログで反論した。
Googleは8月29日の公式ブログで、今年の初めに少数のハッキングされたWebサイトを発見し、それらのサイトはiPhoneの脆弱性を利用して訪問者を無差別に攻撃するものだったと説明。この攻撃は少なくとも2年間続いていたと指摘した。
Project Zeroのイアン・ビア氏は「ユーザーは、デバイスの安全性についての一般的な認識に基づいてリスクを決定する。実際には、標的にされれば、セキュリティ保護は攻撃のリスクを完全には排除できない。生まれた地域や特定の人種であるだけで標的にされる可能性がある。ユーザーにできることは、大規模エクスプロイトはまだ存在していることを前提に行動することだ」と警告した。
Appleはこれに対し、エクスプロイトはGoogleが指摘しているようなiPhone全体を標的としたものではなく、攻撃を受けたのは、「ウイグルコミュニティに関連したコンテンツを扱う1ダース以下のWebサイト」だったと主張(Googleも「少数のWebサイト」としているが)。Googleの説明だと、すべてのiPhoneユーザーのデバイスが侵害されたような恐怖を与えたが、そうではないと語った。
また、Googleは攻撃が2年前からあったとしているが、実際には約2カ月だったという。Googleから知らせを受ける前にこの脆弱性に気づき、10日で修正したとしている。
ウイグルコミュニティ関連Webサイトが攻撃されたことは、Googleは触れておらず、米TechCrunchが報じたことで、Appleがこれを認めたことになる。Googleは、特定の地域に生まれただけで標的になる可能性があると警告しただけだ(米Forbesによると、GoogleはAppleにはWebサイト名を伝えたという)。
Appleが2月に脆弱性の修正を報告した際は、これらの脆弱性が既に攻撃に利用されたことについては触れていなかった。
Forbesによると、iPhone攻撃に使われたWebサイトは、WindowsおよびAndroidも攻撃していたというが、Googleと米Microsoftはそれについて発表していない。
関連記事
- iPhoneエクスプロイトのターゲットはウイグルのイスラム教徒?──TechCrunch報道
Google Project Zeroが解説するiPhoneを狙う無差別攻撃は、新疆(しんきょう)ウイグル自治区のコミュニティを標的とするよう設計された国家(おそらく中国)支援攻撃の一環だと米TechCrunchが情報筋の話として報じた。米ForbesはWindowsおよびAndroidも攻撃されていたと指摘した。 - Appleが「iOS 12.1.4」で対処した脆弱性の詳細をGoogleが明らかに iPhoneへの無差別攻撃に長年悪用されていた
Googleの脆弱性調査プロジェクト「Project Zero」が、Appleが2月の「iOS 12.1.4」で対処した脆弱性について説明した。これらの脆弱性を悪用するエクスプロイトは幾つかのWebサイトに仕込まれ、訪問するiOS 10以降搭載のiPhoneを無差別に攻撃していた。 - Appleが「iOS 12.1.4」配信開始し、「グループFaceTime」のサービス再開
1月末に発覚したAppleの「FaceTime」で応答前に相手に声が聞こえてしまうバグの修正を含む「iOS 12.1.4」の配信が開始した。サーバ側もFaceTimeのサービスが復旧した。 - AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開
Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.