Apple iOSのiCloudアクティベーションロックを回避できる脆弱性が発見される

  • ブックマーク
  • Feedly
  • -
    コピー

federighi_activation_lock

MacRumorsの記事によると、
オランダの通信社De Telegraafの情報で、
オランダやモロッコ出身のハッカー集団が、
セキュリティホールや脆弱性を使ってAppleのiCloudアクティベーションロックを回避できると発表しており、
このセキュリティホールはAppleのここ数回のOSの更新で修復されていないという。
これにより盗難されたMac・iPhone・iPad等にいくらiCloudの「デバイスを探す」機能をオンにしていても、
一瞬にして解除されて転売されてしまう危険性がある。
なお、彼らはこれによって4億近いユーザのアカウントにアクセスが可能だという。

ハッカー達の名前はTwitter上のHNから、
AquaXetineとMerrukTechnologということがわかっている。
また彼らはとあるサイトによってこのアクティベーションロック解除を無償で提供しようとしている。
このサイトの情報によれば、
このサイトの構造はいわゆるiCloudのクラウドサーバのミラーサーバのようなもので、
世界で初めて本家のiCloudのアクティベーションを回避しつつ、
独自にiCloudのアクティベーションを提供することができるサーバとなっているという。

このサーバは現時点でまだ稼働はしていないが、
これが稼働したら、GSMのiPad、iPhone4s、iPhone5c、iPhone5s以外の全てのデバイスがアクティベーションロック解除可能となるという。
そしてこのサーバはまだテスト中であるという。
このサーバに対して懐疑的な人に対し、
ハッカー達は既にアクティベーションロック解除をしたiPhoneのリストを公開しており、
このリスト上に掲載されたiPhoneの数は実に30,000台を超えている。

セキュリティ専門家のMark Lomanはハッカー達がこのセキュリティホールを利用して、例えば他人のiMessageの内容を読み取るなどもっと多くの悪事をしようとしているのではないかと懸念している。
なぜならAppleはここ数回のOSの更新でこれらの既知のセキュリティホールを修正してこなかったからだ(iMessageのセキュリティ問題ではAppleは集団起訴されているほどだ)。

上記の情報を元にすると、今回ハッカー達が作ったサイトはiPhone上でiCloudアクティベーションロック解除をしようとして操作をすると、
デバイスがあたかもそのサーバをAppleの本物のiCloudサーバと誤認してしまうという仕組みを利用しているようだ。
このサーバは5ヶ月の研究機関を経てできたもので、
ハッカー達はこのサーバの目的は金ではなく、
Appleに対してiCloudのセキュリティホールの深刻さを認識して欲しかったからだとしている。
実はハッカー達は今年3月にAppleにこのセキュリティホールに関してメールをしているが、未だに返事をもらえていないとしている。

iCloudアクティベーションロックが簡単に破られるとなると、
これはAppleの全てのデバイスのセキュリティに大きく影響することになる。
Appleはこの問題を放置せず、セキュリティアップデートによって速やかに対応すべきだ。

しかしこのセキュリティホール問題が脱獄と繋がっていたとしたら?
脱獄犯としては痛し痒しである。。

記事は以上。

Visited 147 times, 1 visit(s) today
  • ブックマーク
  • Feedly
  • -
    コピー

この記事を書いた人