Oligur

• ニュース

iOSデバイスで個人用ホットスポットを設定する際は、まずAppleが生成したパスワードを削除し、独自のパスワードを入力する必要があります。ドイツのエアランゲン大学の研究者たちは、Appleのホットスポットのパスワードを1分以内に解読する方法を発見しました。これにより、iOSデバイスは攻撃に対して脆弱になります。

Appleは、主に利便性のためにiOSデバイス上でホットスポットのパスワードを自動生成します。そのため、既存のパスワードを削除して独自のパスワードを入力するよりも、そのまま使い続ける方が簡単な場合もあります。しかし、今後Appleのパスワードを使用する際は、慎重に検討する必要があります。

エアランゲン大学の新しい論文「使いやすさ vs. セキュリティ: Apple iOS モバイル ホットスポットにおける永遠のトレードオフ」によると、iOS が生成するパスワード (短い単語とそれに続く一連のランダムな数字) は、あっという間に簡単に解読されてしまうそうです。

「このリストは約52,500のエントリで構成されており、オープンソースのスクラブルクロスワードゲームから作成されました」と研究者らは説明しています。「この非公式のスクラブル単語リストをオフライン辞書攻撃に利用することで、iOSホットスポットの任意のデフォルトパスワードを100%の確率で解読することができました。」

さらに、研究者たちは、iOSがリスト内の52,000件のエントリすべてを使用しているわけではなく、ごく一部のみしか使用していないことを発見しました。そして、4基のAMD Radeon HD 7970で構成されたGPUクラスターの助けを借りて、Appleが生成したパスワードを持つあらゆるiOSホットスポットを50秒以内に解読することに成功しました。

確かに、必要なハードウェアを考えると、近所のコーヒーショップでこの種の攻撃の被害に遭う可能性は低いでしょう。しかし、それでもリスクは簡単に回避できます。iOSが自動的に生成するパスワードを使い続けるのではなく、自分でパスワードを入力するだけで済みます。

研究者らは、ホットスポットのパスワードは「文字、数字、特殊文字の完全にランダムなシーケンスで構成されているべき」であり、適度な長さであるべきだと述べています。また、パスワードを覚える必要はありません。ホットスポットに接続すると、接続されたデバイスがコードを記憶するはずです。

見つからない場合は、iOS デバイスの設定内でいつでも再度見つけることができます。

研究者らは、この問題はiOSに限らず、AndroidやWindows Phoneデバイスにも影響を及ぼす可能性があると指摘している。

出典：エアランゲン大学（PDF）

出典: ZDNet