マイキー・キャンベル
· 1分で読めます
AppleのiOS 15の最新ポイントアップデートには、数か月前に同社に報告され、先週公表された3つのゼロデイ脆弱性に対するパッチは含まれていない。
9月、illusionofcha0sというペンネームで知られるセキュリティ研究者のデニス・トカレフ氏は、Appleが同社の主力モバイルOSであるiOSに存在する新たに発見されたゼロデイ脆弱性に関する複数の報告を無視したと主張した。トカレフ氏は3月10日から5月4日の間にAppleに4つの脆弱性を報告しており、そのうち1つはiOS 14.7で修正されたが、残りの3つは最新のiOS 15.0.1でも依然として問題となっている。
同氏自身の認めるところによれば、依然として存在するゼロデイ脆弱性は重大なものではなく、その 1 つは、悪意を持って作成されたアプリが何らかの理由で App Store に公開された場合に、ユーザーの Apple ID 情報を読み取ることができるバグに関するものである。
それでも、バグ報奨金プログラムを通じて報告された情報開示に対するAppleの対応は、9月下旬にAppleチームとのやり取りを詳細に記したブログ記事を執筆したトカレフ氏にとって納得のいくものではない。同氏によると、AppleはiOS 14.7で修正したセキュリティ問題を記載しておらず、その後のセキュリティページの更新でもこの脆弱性に関する情報を追加しなかったという。
「私が彼らに問いただすと、彼らは謝罪し、処理上の問題が原因であると保証し、次回のアップデートのセキュリティコンテンツページに記載すると約束しました」とillusionofchaosは当時記している。「それ以来3回のリリースがありましたが、彼らは毎回約束を破りました。」
AppleはTokarev氏のブログ投稿を確認し、改めて謝罪した。同社は9月27日時点で残りの3つの脆弱性について調査中であると述べたが、Tokarev氏は標準的な脆弱性開示プロトコルに従い、先週これらの脆弱性を公表した。
倫理的なハッカーたちは、Appleのバグ報奨金プログラムと、同社による公認セキュリティ研究者への対応全般を批判し、コミュニケーション不足、支払い問題、その他の問題を挙げている。この取り組みでは、バグや脆弱性の発見に対して報奨金が支払われる。
今週初め、研究者ボビー・ラウチ氏は、Appleがバグに関する基本的な質問に回答せず、ラウチ氏による発見が認められるかどうかも不明だったことを受け、AirTagの脆弱性を公表しました。この脆弱性により、攻撃者は紛失モードでデバイスをスキャンした際に、悪意のあるWebページにリダイレクトするコードを挿入することが可能となります。
