- ニュース
画像: Hexway
Bluetooth LE のセキュリティ上の欠陥により、悪意のある人物が Apple のファイル共有 AirDrop 機能を使用して他人の iPhone 番号を発見できる可能性がある。
攻撃者は特定の地域の電話番号データベースを作成する必要があります。そして、特殊なスクリプトを使用することで、AirDropでファイルを送信しようとしたユーザーの情報を収集できます。
ArsTechnica は次のように指摘している:
Bluetoothをオンにするだけで、デバイス名、使用状況、Wi-Fiのオン/オフ、OSのバージョン、バッテリー残量など、さまざまな詳細情報がブロードキャストされます。さらに懸念されるのは、AirDropやWi-Fiパスワード共有を使用すると、iPhoneの電話番号に簡単に変換できる部分的な暗号ハッシュがブロードキャストされることです。この情報(Macの場合は、固有識別子として使用できる静的MACアドレスも含まれる)は、Bluetooth Low Energyパケットで送信されます。
この脆弱性は、AppleのAirDrop機能を使用すると、ユーザーの電話番号のSHA256ハッシュの一部がブロードキャストされることに起因しています。Wi-Fiパスワード共有がオンになっている場合、この脆弱性によりハッカーは電話番号、メールアドレス、Apple ID情報を入手できるようになります。
これらのデバイスはハッシュの最初の3バイトのみを送信します。しかし、セキュリティ企業Hexwayの研究者たちは、電話番号全体を復元できることを示しました。
Errata SecurityのCEO、ロブ・グラハム氏は、この概念実証ツールを自身のノートパソコンにインストールしました。グラハム氏は数分のうちに、そのエリアにある12台以上のiPhoneとApple Watchの位置情報を取得しました。
セキュリティ問題
長年セキュリティの高さで定評のあるAppleですが、最近は苦境に立たされています。最近、GoogleのProject Zeroチームのメンバーがメッセージアプリにセキュリティ上の欠陥を発見しました。Appleはこれらの脆弱性を修正するiOS 12アップデートを公開しました。
残念ながら、この最新の脆弱性は、使いやすさとセキュリティがいかに矛盾するかを示す新たな例です。一部の技術(例えばFace ID)は両方を実現できますが、そうでない場合には、より深刻なトレードオフが生じます。
