セキュリティ

Motherboardによると、MGというセキュリティ研究者が、ハッカーがコンピューターにリモートアクセスでき、ハイジャックすることができてしまうLightning-USBケーブルを開発したということです。

当ブログでも先日予告でお伝えした通り、Appleは米国ラスベガスで行われているBlack Hatセキュリティカンファレンスで新しいバグ発見奨励金プログラムを発表しました。

米国ラスベガスで行われている今年22回目Black Hatセキュリティカンファレンス（8月3〜6日はテクニカルトレーニング、明日7日〜8日はメインカンファレンスという日程になっています（表記は現地時間））で、Appleは2つの新しいバグ発見奨励プログラムを発表する予定であることをフォーブス（Forbes）が報道しています。

Hexwayによる最近のレポートによると、iPhone・Macやその他のAppleデバイスで、AirDropやWi-Fiによるパスワード共有などの特殊なワイヤレス機能は、悪用可能なデータを公開する可能性があるということです。なお、これには2つの簡単な解決策がありますが、利便性を損なう可能性が高まるので、Appleには対策が求められます。

ZDNetによって報道されたボストン大学（Boston University）の新たな調査によると、現在世界的にメジャーなOSに採用されているBluetooth通信プロトコルにセキュリティ上の脆弱性があり、悪意のある攻撃者がAppleやMicrosoftのデバイスを追跡および識別できる可能性があるとのことです。 Windows 10を搭載したMicrosoftのタブレットやラップトップだけではなく、AppleのMac、iPhone、iPad、Apple Watchなどのデバイスもこの脆弱性の影響を受けます。ちなみにAndroidデバイスは影響を受けません。

セキュリティ研究者のフィリッポ・カバラリン（Filippo Cavallarin）氏は、macOSのゲートキーパー（Gatekeeper）セキュリティ機能を回避する方法があることを公表しました。先週のmacOS 10.14.5リリースの時点では、このバイパス方法はAppleによって対処されていないため、この方法が使える状態であることになります。

Appleは本日未明、MacBook Pro 15インチ 2018 2019向けに「macOS Mojave 10.14.5 追加アップデート（macOS Mojave 10.14.5 Supplemental Update for MacBook Pro、英語のみ）」をリリースしました。この昨日販売開始されたばかりのピカピカの2019年モデル新機種を含む「MacBook Pro 15インチ」には、共通してセキュリティを強化するとされているApple自社開発の「T2チップ」が搭載されているのが特徴で、今回のアップデートはその「T2チップ」に影響するファームウェアの更新が行われます。

インテル（Intel）のCPUアーキテクチャをターゲットにした新しい脆弱性「ゾンビロード（ZombieLoad）」の発表に続いて、Appleは自社のWebサイトで、攻撃される危険性が高く、また攻撃されると深刻な問題が発生するレベルの人のコンピュータがどのようにして「完全な対策（緩和）」を実現できるかを説明する、新しい文書を公開しました。Appleはこの脆弱性のことをMDS（Microarchitectural Data Sampling）と名付けています。

最新のレポートによると、セキュリティ研究者らはインテル（Intel）のチップ（CPU）に新たな脆弱性を発見し、2011年以降に製造されたほとんどすべてのインテルチップはそこを突かれた攻撃に対して脆弱ということです。今回新たに発見された「ゾンビロード（ZombieLoad）」と呼ばれる脆弱性は、昨年2018年初め頃に大騒ぎになった、インテルチップに同様に発見された「メルトダウン（Meltdown）」と「スペクター（Spectre）」の機能に似ています。

Googleは、ブラウザ「Chrome」において、最近攻撃で活発に利用されたゼロデイ脆弱性を突いたexploit（悪用ツール）に対策を施したバージョンをリリースしました。Mac/Windows/Linuxの全てのChromeユーザにできるだけ早くアップデートするように推奨されています。

数週間前、AppleのグループFaceTimeに、相手が応答しなくても相手の声や場合によっては相手の映像が見えてしまう、つまり盗聴が可能になってしまうという重大なセキュリティ上の欠陥があることが発見され、広く報道されました。当ブログでもお伝えした通りです。

Appleのエンタープライズ証明書プログラムを悪用したiOSアプリケーションへの規制が強まっています。ロイター通信(Reuters)によると、とあるソフトウェアベンダーはこのプログラムを利用（悪用）して、広告なしバージョンのSpotifyなど、誰もが知っていて人気があるアプリの修正バージョンを公開するなどしているからです。

昨日、iOS 12.1.4がリリースされたことは当ブログでもお伝えした通りですが、このiOS 12.1.4の表向きの主な修正点はグループFaceTimeで相手側が応答しなくても相手の音声を盗聴できてしまうという重大なバグとされていました。しかしその後、Googleのトップセキュリティエンジニアが、iOS 12.1.4で修正された2つのゼロデイセキュリティの脅威を明らかにしました。GoogleのProject ZeroセキュリティチームのチームリーダーであるBen Hawkes氏が、Twitter上でその脆弱性の存在と脅威についてTweetしたのです。

TechCrunchが本日発表した新しい調査によると、iPhoneアプリケーションの中には「顧客体験（UX）分析会社」であるGlassboxのようなサービスを使ってタップやスワイプを追跡していることが明らかになっています。Hollister、Air Canada、Expedia、Hotels.comなどのアプリはこのフレームワークを使用しており、場合によっては機密情報を漏らすこともあるということです。

米国でDriveSaversという会社が、iOSデバイス（iPhone/iPad/iPod Touch）のパスコードロックを忘れたか或いはわからない端末のパスコードロックを解除し、場合によっては内部のデータを別メディアに書き出して渡す「パスコードロック解除とデータリカバリー」サービスを始めました。MacRumorsが報じています。