AirDropは最近中国で非常に人気が高まっていますが、その理由はシンプルです。この機能は送信者の連絡先情報を完全に隠蔽できるからです。AirDropの送信はインターネットや携帯電話ネットワークを経由せず、iPhone同士のBluetooth認証とローカルWi-Fiネットワークを介して行われるため、当局が送信者を特定することは極めて困難、あるいは不可能です。これにより、抗議活動参加者は警察がネットワークを解読できないまま、重要なメッセージ、ミーム、写真などをやり取りすることができました。
しかし、約1年前にiOS 16.1.1がリリースされた際、Appleはデフォルトの「連絡先のみ」設定ではなく、「すべての人」と接続を共有する際の時間制限を10分に設定しました。公式発表では、この変更はAirDropのスパムや不正利用に対抗するためのものだとされていましたが、この変更が最初に中国で適用されたことから、Appleが中国政府の意向に従ったのではないかとの疑念が浮上しました。
北京に拠点を置く政府認可のセキュリティ企業が、ブルームバーグ通信を通じて、システムのクラッキングに成功し、AirDrop送信者の連絡先情報を入手したと発表した。同社によると、専門家らが受信者のiPhoneでAirDropプロセスのログデータを発見したという。送信者のiPhoneのデバイス名、メールアドレス、電話番号が、データ転送中に対象のiPhoneに保存される。後者2つの情報はハッシュ値に変換されるが、同社はこれらのハッシュ値を判読可能なテキストに変換する方法を発見した。
この主張の一部は確認できました。Macでコンソールを起動し、iPhoneからファイルをAirDropで転送したところ、コンソールのログデータから「sharingd」プロセスがAirDropを担っていることがわかりました。このプロセスには「AirDrop」という専用のサブプロセスが含まれていますが、ファイル転送中は他にも複数のサブプロセスがアクティブでした。サブプロセスの1つにiPhoneの名前とBluetooth信号の強度が表示されました。
コンソール ログ内のデバイスの詳細。
ハリーナ・クビフ
「AirDrop」サブプロセスは実際には連絡を取ったiPhoneに属するメールアドレスと電話番号のハッシュ値を保存しますが(スクリーンショットを参照)、プレーンテキストにはアクセスできませんでした。
AirDrop転送中のコンソールログ
。ハリーナ・クビフ
最後に、MacとiPhoneは信頼できるデバイスである点に留意してください。そうでなければ、AirDropの転送は全く機能しません。たとえ知らない相手であっても、受信者はまずデータ転送を承認する必要があります。受信者の知らない間に外部ファイルが転送されることはありません。もし報道が事実であれば、AirDropは権威主義国家の反体制派にとって脅威となります。彼らはファイル交換の際に匿名性を維持できると考えているからです。
Apple はなぜこの欠陥を修正しなかったのでしょうか?
セキュリティ研究者たちは、少なくとも2019年からAppleに対し、AirDropプロトコルには欠陥があり、解読される可能性があると警告してきました。2021年8月、ダルムシュタット工科大学のアレクサンダー・ハインリッヒ率いるグループは、「Private Drop」と呼ばれる、はるかに安全な代替手段を発表しました。
AirDropの問題は、接続を確立する際に、送信側と受信側のデバイスの両方のアドレス帳に住所と電話番号が登録されていない場合、プロトコルがApple IDで認証された住所と電話番号を要求することです。これらの住所と電話番号はハッシュ値として保存されますが、解読するのは非常に容易です。電話番号は数字のみで構成されており、ブルートフォース攻撃で簡単に解読できます。メールの場合、攻撃者は一般的なエイリアス構造を推測し、辞書や漏洩メールのデータベースで一致する可能性のあるものを検索します。
ハインリッヒ氏によると、AirDropのセキュリティ上の欠陥が悪用されるのは時間の問題だったという。しかし、研究者たちはこれまでのところ、送信中にデータを傍受したに過ぎない。AirDropの連絡先の個人データがiPhoneのローカルに保存されているという事実は、これまで知られていなかった。
ハインリッヒ氏によると、AppleはiOS 16の開発段階から、この抜け穴についてダルムシュタット大学の研究者に連絡を取っていたという。しかし、ハインリッヒ氏は転送プロトコルのセキュリティに大きな変更は見つからなかった。Appleにとっての難題は、AirDropプロトコルのより新しく、より安全なバージョンが、古いiOSバージョンとの下位互換性を持たないことだろう、とハインリッヒ氏は付け加えた。
この記事はもともとMacweltに掲載され、David Priceによって翻訳および編集されました。
この記事はもともと当社の姉妹誌 Macwelt に掲載されたもので、ドイツ語から翻訳されローカライズされました。
著者: Halyna Kubiv、スタッフ ライター、Macwelt
ハリーナ・クビフは、2010年からドイツの姉妹サイトMacweltに所属しています。Apple製品はもちろんのこと、フィットネスや健康関連のトピックにも情熱を注いでいます。余暇にはハイキングに出かけ、バイエルン州の山々でiPhoneやApple Watchを何度も使いこなしてきました。言語への情熱は、ドイツ語の修士号だけでなく、データジャーナリズムの分野でも発揮されているPythonの様々な分野にも表れています。
