サイトアイコン 小龍茶館

【iOS 9.2.1でも有効】iPhoneやiPadのパスコード・パスワードロックを回避する新たなバグが発見される

xiaolong

iPhone_パスコードロック

Apple vs FBIの争いで、FBIがAppleにバックドアを仕掛けてでも中のデータを見せろと様々な手段で迫ったことで一躍騒がれるようになった、AppleのiPhoneのセキュリティの堅牢性問題。

確かにiOS 8以降、デバイス全体が暗号化されていてiPhoneやiPadなどiOSデバイスの個人情報保護性能は非常に堅固なのだが、それもパスコード・パスワードロックを破られてしまうと簡単に暗号化が解かれてしまうので意味がない。

iOS 9.2.1でも修正されていないバグで、パスコード・パスワードロックが回避可能に!?

threatpostによると、そんなパスコード・パスワードロックが破られてしまう裏ワザがセキュリティ研究所”Vulnerability Lab(脆弱性研究所)”のBenjamin Kunz Mejri氏によって発見されてしまった。しかも、iOS 9.1から現在最新のiOS 9.2.1でも使えてしまう。しかも、非常に簡単に。

 

対象デバイス

iOS 9.1〜iOS 9.1.2を搭載したiOSデバイス(iPhone、iPad、iPod Touch)

 

前提条件

ロック画面でのSiriの使用がOKになっている場合のみ、この方法でパスワード・パスコードロックを解除されてしまう。

 

方法・手順の動画

単純に言うと、「ロック画面中のSiriから存在しないアプリを開くように指示するとブラウザ経由でApp Storeが起動され、ホームボタンで戻るとロックが解除されている」というもの。

縦画面を横に圧縮して公開されているのでみにくいったらしょうがないのだが。。一応手順は以下の動画の通り。

 

方法・手順ステップ

以下はあくまで動画に解説されている方法。

  1. ロック画面中のSiriをオンにする。
  2. ロック画面中にSiriを起動し、”Open World Clock”と話しかける
  3. そのアプリは存在しないため、App Storeで探しては?というサジェスチョンと共に、App Storeを開くというリンクが表示される
  4. App Storeのリンクをタップすると、App Storeが開かれる。
  5. あとはApp Storeアプリをタブで切り替えることもできるし、ホームボタン2回押しでApp Switcher(マルチタスク)に切り替えも可能に。
  6. App Switcherでホーム画面を選択
  7. ホーム画面に戻ることも。全くロック解除されたように操作できるようになってしまうという。

疑問点

動画では上記のステップ4.のところでなぜかTouch IDに右手の人差し指を添えている。何か、パスコード・パスワードロックをそれで解除しているのを誤魔化しているように見えてしまう。。

※私自身は再現できず

ただし、日本語ではどのように操作するかわからず、動画のようにWorld Clock(世界時計)とSiriに話しかけると時計アプリが開くようになる上に、その前に「iPhoneのロックを解除してください」と言われ、パスワード/パスコードの入力を要求されるので、回避することができない。よく考えたら、私のiPhoneは脱獄していてiOS 9.0.2なので、今回のバグの対象のiOS 9.1以上ではなかったからかもしれない。

なお、上記Youtubeの動画でも「再現できない」というコメントがついている。

 

【対策】

ロック画面でのSiriの使用をやめればOK。

  1. 設定>Touch IDをパスコードをタップ
  2. 【ロック中にアクセスを許可】のところの【Siri】をオフにする

現在のiPhone、特にiPhone 6sなどは指紋認証センサーTouch IDによる指紋識別速度は非常に速い(Touch IDを搭載した初めてのデバイスiPhone 5sでも認識は遅いわけではない)。ホームボタンを電源ボタン代わりに使っても問題ないレベルだ。正直ロック画面でSiriを使う需要は殆どないだろう。

 

Appleもこのバグを認識

発見者のMejri氏がAppleに既に上記のバグを報告済みのため、Appleは既にこのバグを認識しているという。今月にリリースされるのではないかといわれているiOS 9.3ではこのバグが修正されているといいのだが。

 

画蛇添足 One more thing…

もし昨年末カリフォルニア州サンバーナーディーノで発生した銃乱射テロ事件の射殺された犯人が所持していたというiPhone 5cもこの方法でパスコード/パスワードロックが解除できるのであれば、Apple vs FBIの構図はいったん収まるかもしれない。なぜならFBIは詭弁とは思うが今回のiPhoneのみを解除したいと言っているわけだから。

ただし、もしサイード・ファルーク容疑者のiPhone 5cがiOS 9.0.2以下で、ロック画面でのSiriの使用をオフにしていたら、NGだが。。

記事は以上。

(記事情報元:threatpost

モバイルバージョンを終了