ウィリアム・ギャラガー
· 1分で読めます
AppleのAirDrop
iPhoneユーザーの個人情報を入手するためにAirDropをクラックしたという中国の主張は、長年Appleに警告してきたセキュリティ研究者によって裏付けられている。
中国政府系機関の北京研究院は、iPhoneのログを利用してAirDropでコンテンツを送受信するユーザーを特定していると発表した。具体的な手順は明らかにされていないものの、セキュリティ研究者らはAirDropが安全ではないこと、そしてAppleが繰り返し問題を抱えていると指摘している。
送信者の詳細はデバイスのログで確認できるという主張はMacWorldによって確認されていますが、テスターはAirDrop経由でファイルを受信したMacのコンソールログにアクセスすることで、送信元のiPhoneの名前とBluetooth信号強度しか確認できませんでした。名前と信号強度は、全体的な「sharingd」プロセスの一部であるAirDropサブプロセスに保存されていました。
この AirDrop サブプロセスには送信元の iPhone の電子メールと電話番号が含まれているようですが、それらはハッシュ値で保存されており、テスターはそれをプレーンテキストに変換できませんでした。
中国の北京研究院がAirDropを「容疑者」を特定するために利用しているのがこのような方法だと仮定すると、Appleの機能が安全でないことを示すさらなる要素がある。「探す」にも問題を発見したセキュリティ研究者のアレクサンダー・ハインリッヒ氏は、AirDropは接続前に認証済みのApple IDを必要とすると述べている。
Apple ID のメールアドレスと電話番号はハッシュ値として保存されますが、解読は容易であると報告されています。
ハインリッヒ氏の発見は、AirDropが実際に使用されている間のみ有効であることに注意してください。中国のアプローチでは、受信側のiPhoneにログが記録されていたため、捜索を行う前にiPhoneを押収する必要があることが示唆されています。
それにもかかわらず、ハインリッヒ氏は、脆弱性が報告されただけでなく、Apple自身もiOS 16の開発中に研究者に質問していたと述べています。同氏は、より安全なAirDropを実証しましたが、古いiOSバージョンとは互換性がないため、まだ実装されていないと述べています。
これとは別に、AppleはAirDropの新たなバージョンの特許を取得しました。このバージョンはWi-FiやBluetoothの代わりに光通信を使用するため、より高速かつ安全になります。
