Def Con 2023では、Bluetoothの欠陥を悪用した比較的安価なデバイスが偽の通知を強制し、ユーザーに機密データを渡させる可能性があることを、一部の参加者にリアルタイムで見せた。
デバイスやソフトウェアのハッキングに特化したカンファレンスを巡ると、専門的な設定ではあるものの、現実世界の様々な攻撃を目にすることになります。そして、今年一部の参加者が経験したように、それは個人データがいつでも盗まれる可能性があることも意味します。
例えば、ジェイ・ボックス氏がまとめた研究プロジェクトは、Apple独自のBluetooth Low Energy(BLE)技術を悪用してユーザーの情報を盗み取ろうとすることがいかに容易であるかを示しています。ボックス氏のプロジェクトにはいくつかの目的があり、まず第一に、コントロールセンターを使ってBluetoothを無効にするだけでは実際には目的を達成できないことを人々に改めて認識させることです。
2つ目は、ボクス氏がカンファレンス会場内を歩き回り、列に並び、ベンダーを訪問する様子をただ笑うためでした。ただし、TechCrunchによると、彼らは誰かと話をするために立ち止まる際は、必ずデバイスの電源を切るようにしていたそうです。
このデバイスは、Raspberry Pi Zero 2 W、Linux対応Bluetoothアダプター、アンテナ数本、外付けバッテリーなど、複数の要素を組み合わせたものです。Bochs氏によると、合計価格は約70ドルとのことです。つまり、比較的安価なデバイスでも、50フィート(約15メートル)以内にあるAppleデバイスに、あっという間に何らかの混乱を引き起こすことができるということです。
それはデバイス間の通信に帰着します。現時点でAppleは、自社のエコシステムにおいてこの通信に大きく依存しています。BLEを利用することで、iPhoneなどのデバイスは一定範囲内に近づくと相互通信が可能になり、「近接アクション」を促します。
デバイスがこれらのアクションを引き起こすため、ボクス氏が会議場内を歩き回っている間、近くのiPhoneにプロンプトを送信し、近くのApple TVにパスワードを自動入力するよう促すことができました。近くにApple TVがなかったにもかかわらずです。
幸いなことに、ボクス氏のデバイスは、たとえ誰かが何らかの理由でプロンプトをタップしてパスワードを入力したとしても、個人情報を取得するようには設計されていませんでした。しかし、ボクス氏は、そのような事態が発生する可能性は否定できないと述べています。
「もしユーザーがプロンプトに反応し、相手側が納得のいくように応答するように設定されていれば、被害者にパスワードを転送させることができると思います。数年前から知られている問題で、パケットから電話番号、Apple IDのメールアドレス、現在のWi-Fiネットワークを取得できるものがあります。」
Appleは2019年からこの問題を認識している。しかし、このプロセスでは共有できる情報がほとんどなく、これはAppleのエコシステム全体にとって不可欠な機能であるため、ボクス氏は同社がこれについて何らかの対策を講じるとは考えていない。
Bochs 氏は、コントロール センターで Bluetooth アイコンをタップすると何が起きているのかをユーザーに知らせる、よりよいプロンプトを Apple がユーザーに提供できるのではないかと提案している。
この種の攻撃から身を守る方法
これは状況認識にかかっています。Bluetoothはセキュリティ目的に特に優れているとは知られていませんが、この特定の状況では、周囲の環境を把握することが非常に重要です。
Bochs氏が指摘するように、この瞬間は笑いを誘うためのものだ。なぜなら、ハッカーのコンベンションでApple TVがパスワードの入力を促しているからだ。明らかに誰かの個人所有のApple TVではないので、外出中にこのような画面や似たような画面を見かけたら、絶対にパスワードを入力しないようにしましょう。
しかし、現実世界でも同様のプロンプトが表示される可能性があり、AirTagやAirPods Proなど、持ち歩いている個人用デバイスに注意する必要があることを意味します。見知らぬデバイスがパスワードの入力を要求してきた場合、特に見覚えのないデバイスであれば、完全に無視するのが安全策です。
ご注意ください。Bluetooth または Wi-Fi を完全に無効にする唯一の方法は、設定アプリで無効にすることです。
