脆弱性にAppleの対応が鈍い 研究者から不満の声続出

広告

ユーザーの安全とプライバシーに配慮すると知られているAppleが最近、セキュリティに関係がある問題への対応が遅いと批判された。それらの脆弱性を発見した研究者からの不満の声が相次ぐ出現している。研究者はゼロデイ攻撃(セキュリティホール)を見つけて通報してもAppleが一切反応しないということを公表した。

Denis Tokarev(デニス・トカレフ)セキュリティ研究者はhabr.comーITブログプラットフォームでillusionofchaosのユーザーとしてAppleの脆弱性報償金制度「Apple Security Bounty program」と絶望的な経験を語った。AppleのiOSに4件のゼロデイ(0ーday)脆弱性を詳しく公表した。全4件が2021年3月10日~5月4日に報告したという。

 1件だけはiOS14.7で 修正され、残り3件は最新iOS15.0でもまだ修正されていなかった。修正された件は「セキュリティコンテンツページ」に一切表示されなかった。トカレフ氏は「情報を隠蔽した行動」と認識して、Appleとの問い合わせをした。受けた後、Appleは謝罪して、過失の原因で次回の更新に記載すると答えた。「今まで更新が3回リリースされていたが、その約束を破った」とトカレフ氏は不満を抱いた。

 「10日前に説明を要求した。説明を提供しなければ、自分の研究を公表すると告げ知らせた。その要求が無視されたということで言った通り行動した。私は責任を持って、情報公開ガイドラインに基づいている」と述べた。

公開された脆弱性はApp Storeからアプリをインストールすることでユーザーのデータが不正アクセスされる可能性があり、個人情報漏洩の恐ろしいリスクも高くなる。

 一般的に、外部の研究者が脆弱性を通告してからメーカーが修正するまでの期間は3ヶ月とする。メーカーが発見者と連帯して、悪影響の流れを抑える。だが、半年にわたって、Appleの反応は黙っていたまま。また、他の研究者も同じようなした経験、リンクを搭載した。

 数日後、Appleの紛失防止タグ「AirTag」の脆弱性を報告した別の研究者が、やはりAppleの対応は変更なかった。

  「Air Tag」は紛失防止タグとなり、「Air Tag」をなくす場合、見つけた人が所有する人に電話するようなことができる。ただし、この仕組みに脆弱性が存在している。iCloudに見せかけた不正なWebサイトに拾得者を誘導することができ、認証情報を入力させたり、マルウェアに感染させたりすることが可能という。

 セキュリティ情報サイトのKrebsonSecurityにより、脆弱性が発見されて、発見した研究者はAppleに報告した。だが、3ヶ月後、「まだ調査中、次回のアップデートで対応する」とAppleからの連絡が来た。いつ修正するか、いつ報酬を出すか、情報はまったく詳しく公表されなかった。

 ブログで公開した1日後、トカレフ氏はAppleから返信が届いた。

「返事が遅れてしまって、お詫びいたします。問題についてはまだ調査中ということです。問題の報告に時間を取っていただきありがとうございました。ご協力に感謝します。何か質問がありましたらお知らせください」

広告