アップルはセキュリティの脆弱性をリーク前に知っていた?

アップルはセキュリティの脆弱性をリーク前に知っていた? 1

iCloudからのセレブのヌード大量流出スキャンダル。実は、その6ヶ月前にとあるソフト開発者がセキュリティ欠陥をアップルに報告していたにもかかわらず、同社はそれを無視していたとの疑惑が浮上しました。

The Daily Dotによりますと、Ibrahim Balic氏は今年の3月、個人のiCloudアカウントにアクセスする方法を発見しアップルに報告しました。その時のメールのやりとりはこちらで公開されています。セレブの写真を盗んだ集団が全く同じ方法でアクセスしたかどうかは定かではありません。ただ、Balic氏が報告したハッキング方法も、ブルートフォースアタックによるものなので、事件のに繋がったものと同じ種類の脆弱性のように見えます。

Balic氏がメールのやりとりの公開したのには、1つの重要な意図があります。それはアップルに対して、善良ハッカーの警告と真剣に向き合うべきだということを主張するためです。

1つのアカウントに対して最大2万回パスワードを試して、Balic氏はアカウントへのアクセスを可能にしました。5月にアップルが返答した際、アップルはBalic氏が使った手段に対して質問はしたものの、脆弱性が修復されるとは明言しませんでした。

The Daily DotにBalic氏は、やりとりの最中に脆弱性が修復されることはなく、アップルはiCloudのユーザを危険に晒し続けていたと伝えています。

報告された脆弱性は修復されておらず、アップルの担当はいまだにBalic氏が発見した経緯のみに興味を示しています。

米Gizmodoは、やりとりが本物なのか、そしてこれが真実ならこの指摘への対応について説明を求めるためにアップルにコンタクトを取りましたが、返事は返ってきませんでした。

繰り返しますが、Balic氏が発見した脆弱性はスキャンダルとは一切関係がない可能性もあります。ブルートフォースアタックがリークの原因とはされていますが、それとは全く別の脆弱性でもありえるのです。そして、それはさらなる不安要素でもあります。

いずれにせよ、Balic氏が行ったようなアタックに対して、アップルはより注意深くあるべきなのです。もしアップルが本当にリークの原因となった脆弱性の警告を無視していたのなら、これから先善良なハッカーがいくら問題を報告しても、それらもまた無視されてしまう懸念があるからです。特に、グーグルやフェイスブック、ツイッターなど多くのテック企業のようにバグ懸賞金プログラムをアップルが用意していれば防げたようなリークなら尚更です。

ティム・クック氏は最近多くのインタヴューで、アップルがセキュリティを再考し、2段階認証を含む、より強固なセキュリティ機能をiCloudに採用したとしていますが、開発者からこういった話を聞くのは気持ちの良いものではありません。製品のセキュリティに心血を注ぐのも良いのですが、クパティーノ以外からやってくる警告にも、もっと耳を傾けて欲しいですね。

source: The Daily Dot

Kate Knibbs - Gizmodo US[原文

(scheme_a)