サム・オリバー
· 1分で読めます
スクリーンショットはThe Daily Dotより提供
3月にAppleのiCloudサービスに対するブルートフォース攻撃を発見したセキュリティ研究者は、今月初めの有名人の写真ハッキングスキャンダルと併せて表面化した「iBrute」の脆弱性に類似した攻撃について、報告後数カ月間、Appleは脆弱性への対処を拒否したと述べている。
コンピュータセキュリティ専門家のイブラヒム・バリック氏がデイリー・ドットに提供した文書のコピーによると、同氏が3月下旬に初めてアップルの製品セキュリティチームのメンバーにこの脆弱性について通知した。当時、バリック氏はアップルの担当者に対し、特定のアカウントに対して最大2万件のパスワードをテストできたと語っていた。
アップルの従業員は5月になってもバリック氏と協力して状況を評価していたが、その時点では事態の深刻さを軽視していたようだ。
「ご提供いただいた情報から判断すると、アカウントの有効な認証トークンを見つけるのに非常に長い時間がかかると思われます」と、あるAppleエンジニアがBalic氏に返信した。「比較的短時間でアカウントにアクセスする方法をお持ちだとお考えですか?」
バリック氏が発見したバグ(同氏は未解決だと考えている)が、「iPhoneを探す」に対する同様の攻撃を可能にしたiBruteツールとどのような関係があるのかは不明だ。Appleは後に、「iPhoneを探す」の脆弱性が今や悪名高い写真スキャンダルに利用されたことを否定し、標的に対する長年にわたるソーシャルエンジニアリングを駆使した「標的型攻撃」の結果であると述べた。
