Appleは、次期製品やOSリリースに関するリーク対策には慣れているものの、今回のような事態は初めてだ。人気のコード共有サーバーGitHubで、匿名ユーザーがiOSのソースコードの主要部分を一般公開したため、一部の専門家はこれが「史上最大のリーク」になるのではないかと懸念している。
GitHubApple は、GitHub 上の iBoot コードのすべてのインスタンスを削除するために積極的に取り組んでいます。
問題のコードは、2016年春にリリースされ、Night Shiftなどの機能をはじめとする様々な改善が盛り込まれたiOS 9.3のバージョン用です。流出したコードはiBootと呼ばれ、その名の通り、iPhoneを起動するたびに実行される信頼できる起動プロセスを制御します。Appleによると、iOSブートローダーは「信頼の連鎖における最初のステップであり、各ステップは次のステップがAppleによって署名されていることを確認する」とのことです。もしこのブートローダーが侵害されると、感染したソフトウェアがデバイス上で実行される可能性があります。
Appleは声明で、「3年前の古いソースコードが漏洩したようですが、設計上、当社製品のセキュリティはソースコードの機密性に依存していません。当社製品には多層的なハードウェアおよびソフトウェア保護が組み込まれており、最新の保護機能の恩恵を受けるために、お客様には常に最新のソフトウェアリリースへのアップデートを推奨しています」と述べています。
この漏洩は確かに恥ずべきものですが、同時に危険も伴います。AppleのブートプロセスはiOSコードの中で最も重要な部分であり、マルウェアなどの攻撃に対する最前線の保護を担っています。招待制プログラムに関する報道によると、このプロセスは非常に機密性が高いため、Appleは脆弱性を発見した開発者に最大20万ドルを支払っているとのことです。
このコードは2年前のOS用であり、ユーザーの約95%がiOSの最新バージョン以降を使用しているにもかかわらず、その一部は最新のiOS 11でもまだ使用されている可能性があります。iBootコードの最も可能性の高い用途は、iOSのジェイルブレイク版の作成ですが、iOSのソースコードに関する詳細な情報は、iOSがどのように構成されているかをこれまでにない形で明らかにするため、ハッカーにとっても有益となる可能性があります。ソースコードを精査することで、悪意のある開発者はコードの脆弱性や不整合を発見し、9.3だけでなくすべてのバージョンのiOSを攻撃できる可能性があります。
家庭への影響:一般ユーザーにとって、少なくとも今のところは、それほど恐れる必要はないでしょう。iBootの流出で発見されたものを使ってスマートフォンを攻撃するには、ハッカーがスマートフォンに物理的にアクセスし、新しいOSをインストールするのに多少の時間が必要になるでしょう。しかし、これはハッカーがコードの脆弱性を見つけようと懸命に努力し、設計者もiOSシステムを模倣しようとすることを意味します。そして、これはAppleが対処しなければならない、またしても残念なセキュリティ問題の一つに過ぎません。
