Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表:この頃、セキュリティ界隈で(2/2 ページ)
Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。
一方、Appleのバウンティプログラムについてトカレフ氏は「不満を感じているのは私だけではない」と言い、同じような経験をした多数の研究者の報告や意見へのリンクを掲載した。
この数日後には、Appleの紛失防止タグ「AirTag」の脆弱性を報告した別の研究者が、やはりAppleの対応に不満をぶつけた。
この脆弱性は、持ち主がなくしたAirTagを拾得した人が、善意で持ち主に連絡できる「紛失モード」の仕組みに存在する。持ち主が紛失モードを設定すると個別のURLが生成されて、メッセージや連絡先電話番号を入力できる。そのAirTagを見つけた人がAppleの端末やAndroid端末でスキャンすれば、持ち主に電話するよう促すショートメッセージが表示される仕組み。
ところが脆弱性を突いてこの機能を悪用すれば、iCloudに見せかけた不正なWebサイトに拾得者を誘導することができ、認証情報を入力させたり、マルウェアに感染させたりすることが可能という。
セキュリティ情報サイトのKrebsonSecurityによると、脆弱性を発見した研究者のボビー・ラウフ氏がAppleに報告したのは6月20日。その後3カ月、同氏が問い合わせても「まだ調査中」といわれるばかりで、次回のアップデートで対処すると連絡があったのは9月23日だったという。
他社の脆弱性も多数発見して報告しているラウフ氏は、Appleの対応に不満を募らせていた。Appleから9月23日に届いたメールでは、脆弱性が修正されるまで公表を差し控えてほしいと依頼されたが、ラウフ氏は同社のコミュニケーション欠如を理由に公表に踏み切った。「いつ修正されるのか、バグバウンティの賞金は受け取れるのかといった情報をある程度提供してくれれば、進んで協力するのに」とラウフ氏は言う。
KrebsonSecurityはAppleのこうした対応について、「脆弱性ブローカーやダークネットで自分の情報を売った方が面倒が少ないと思う研究者もいるかもしれない」と懸念する。トカレフ氏やラウフ氏のような研究者がAppleの対応に業を煮やして未解決の脆弱性情報を公開すれば、ユーザーが危険にさらされる事態にもなりかねない。
トカレフ氏によると、ブログの公開から24時間後、Appleからはこんな返信が届いたという。
「お返事が遅れたことをおわびします。問題についてはまだ調査中です。問題の報告に時間を取っていただきありがとうございました。ご協力に感謝します。何か質問がありましたらお知らせください」
関連記事
- 「AirTag」には“善きサマリア人攻撃”の恐れありとセキュリティ研究者がAppleに警告
Appleの紛失防止タグ「AirTag」は“善きサマリア人攻撃”の恐れありとセキュリティ研究者が語った。「紛失モード」のURLには電話番号とメールアドレス以外にも、例えば任意のコードを書き込めるからだ。 - iPhone 13をApple Watchでロック解除できない問題、ソフトウェア更新で対処へ
Appleは「iPhone 13」シリーズを「Apple Watch」でロック解除できない可能性を認めた。この問題はソフトウェアアップデートで修正するとしている。 - 「マジでジェームズボンド」「魔法使いみたい」――触らずに操作できるApple Watchの新機能に反響
Apple Watch向けの新OS「watchOS 8」の新機能「AssistiveTouch」に注目が集まっている。装着している側の指や手を動かすだけで、画面にタッチしなくても操作できるようになったからだ。 - Apple幹部、iPhone 13のカメラ開発を語る カメラチームは800人、3年かけている
Appleのカメラ部門担当副社長などによるインタビュー。 - スティーブ・ジョブズ没後10年 Appleの隆盛を支えた「ジョブズとクック」が成し遂げたこと
Appleの創業者であるスティーブ・ジョブズが亡くなって10年がたとうとしている。改めて「スティーブ・ジョブズとティム・クック」について、西田宗千佳さんが分析する。
Copyright © ITmedia, Inc. All Rights Reserved.