画像: IDG
AirDrop は周囲の人々とファイルや写真を共有する便利な方法ですが、セキュリティ研究者のチームは、システムからロックアウトされていても、欠陥により見知らぬ人が個人情報を盗む可能性があると警告しています。
この「重大なプライバシー漏洩」は、ドイツのダルムシュタット工科大学の研究者によって発見されました。彼らは、約2年前にAppleにこの漏洩について報告していたにもかかわらず、漏洩は依然として存在していると主張しています。報告書によると、ユーザーがファイルを共有する必要すらなく、脆弱性が存在します。
「攻撃者は、AirDrop ユーザーの電話番号やメールアドレスを入手することが可能です。たとえ全くの他人であってもです。必要なのは、Wi-Fi 対応デバイスと、iOS または macOS デバイスの共有パネルを開いて検出プロセスを開始するターゲットに物理的に近い場所だけです。」
この問題は、AppleがAirDropの検出プロセスにおいて、電話番号とメールアドレスを隠すためにハッシュ関数を使用していることに起因しています。しかし、TUの研究者たちは、「ハッシュ値はブルートフォース攻撃などの単純な手法で簡単に逆引きできるため、ハッシュ化ではプライバシーを保護しながら連絡先を検出できない」と主張しています。共有シートが表示され、AirDropが近くにいる人を探し始めると、ユーザーの情報が公開され、攻撃に対して脆弱になると研究者たちは主張しています。
プライバシーはApple製品における主要な焦点の一つであり、ユーザーの同意なしに個人情報が共有されないよう万全を期しています。例えば、「Sign in with Apple」ではプライベートメールリレーサービスを使用しているため、企業がユーザーの個人アドレスを閲覧することはできません。
彼らは、「最適化された暗号秘密集合交差プロトコル」を用いた解決策を開発しました。このプロトコルは、個人データを脆弱にすることなく、連絡先の検出プロセスを安全に実行できます。研究グループによると、Appleは「この問題を認めておらず、解決策に取り組んでいることも示唆していない」とのことです。研究チームは、8月に開催されるUSENIXセキュリティシンポジウムで研究結果を発表する予定です。
著者: マイケル・サイモン、Macworld編集長
マイケル・サイモンは20年以上にわたりAppleを取材しています。iPodがまだiWalkだった頃からSpymacで噂を取材し始め、Appleがこれまでに製造したほぼ全てのiPhoneを所有しています。妻と息子、そして数え切れないほどのガジェットと共にコネチカット州に住んでいます。
