ロジャー・フィンガス
· 1分で読めます
最近のレポートによると、iPhone、Mac、その他のAppleデバイスのAirDropやWi-Fiパスワード共有などのワイヤレス機能は、悪用可能なデータを公開する可能性がありますが、簡単な解決策が2つあります。
セキュリティ企業Hexwayによると、これらの技術は部分的な暗号ハッシュ(SHA256)をブロードキャストし、iPhoneの電話番号やMacの静的MACアドレスといった詳細情報の取得に利用される可能性があるという。根本的な問題は、Bluetooth Low Energy(BLE)経由で送信されるデータパケットにある。BLEは、すべてのAppleデバイスにおいて、デバイス名、OSバージョン、バッテリー残量、Wi-Fiのオン/オフといった情報を送信する。
これは多くの場合無害で必要なものですが、一部の組織が人物を追跡したり、より深刻な攻撃を仕掛けたりするために利用される可能性があります。ある短い動画では、HexwayがAirDropベースのエクスプロイトを実演し、標的にSMSメッセージを送信できる様子が紹介されました。
攻撃者は独自の BLE リクエストを送信して AirPods などのデバイスを偽装したり、対象のハードウェアに Wi-Fi パスワードの共有を強制したりすることも可能です。
ヘクスウェイ氏によると、この問題はiOS 10.3.1以降のすべてのiOSデバイスで発生しているが、iPhone 6sより前の製品では、連続したストリームではなく、限られた数のメッセージのみが送信される。いずれにせよ、この脅威を完全に軽減する唯一の方法はBluetoothをオフにすることだが、特にヘッドフォンやApple Watchなど、ワイヤレス接続を必要とするアクセサリを使用している人にとっては、その効果は期待できないかもしれない。
「この行動は脆弱性というよりも、エコシステムの機能の特徴である」とヘクスウェイ氏はコメントした。
この攻撃ベクトルの多くはBLEプロトコルに固有のものですが、AirDropなどの類似の共有規格では、このベクトルがわずかに露出しています。Appleユーザーは、AirDropを「連絡先のみ」に設定するか、完全に無効にするなどして、できる限りロックダウンすることをお勧めします。そうしないと、見知らぬ人が嫌がらせ画像やその他のファイルを送信できる可能性があります。
この攻撃は依然として主に標的型であり、ほとんどのユーザーは心配する必要はありません。この攻撃経路が現在悪用されているという証拠はありません。
