» 34億円の和解金支払い、Appleが失敗を認めた「荷物検査」は何が問題だったのか?
Appleは、ジョージア工科大学でサイバーセキュリティを専攻するライアン・ピックレン氏に、10万5000ドル(約1200万円)の報奨金を支払いました。Appleの話題を取り扱う「Cult Of Mac」によれば、この額は恐らく過去最高とのことです。
*Category:テクノロジー Technology|*Source:Cult Of Mac ,Linked in ,ryanpickren.com
Appleが過去最大の報奨金を支払い、学生が発見した致命的な脆弱性とは?
巨額の報奨金をAppleが出した理由は「iPhoneやMacのウェブカメラの脆弱性」をピックレン氏が発見したことです。「Cult Of Mac」によれば、iPhoneとMacのウェブカメラの脆弱性は、SafariとiCloudの問題に関係していたとのこと。これらの脆弱性を利用して、悪意のあるウェブサイトが攻撃を仕掛けてくる可能性があったそうです。
さらにピックレン氏は、ウェブカメラをハッキングすることにより、Gmail、iCloud、PayPalなど、すべてのウェブベースのアカウントにフルアクセスできるようになると指摘。また、マイク、カメラ、画面共有の使用許可も可能になるとしています。
ピックレン氏によれば、鍵となるのは、Safariの「webarchive」ファイルです。これはSafariがWebサイトのローカルコピーを保存するためにブラウザが使用しているシステムですが、このファイルをハッキングして書き換えることにより、攻撃者はデバイスの全ファイルシステムに自由にアクセスできると同氏は指摘しています。
ただし攻撃を成功させるためには、ハッカーはWebarchiveファイルをダウンロードし、さらにそれを開かなければなりません。そのためこの脆弱性は「ブラウザのセキュリティモデルが今日ほど成熟していなかった、10年近く前」から見逃されていたそうです。
Appleはこの問題をすでに修正していますが、この脆弱性が発見される前、あるいは発見された後に誰かがこの脆弱性が利用されたのかどうかについてはコメントしていません。なお、このAppleのプログラムでは、最大100万ドルの賞金が与えられることとなっています。
- Original:https://www.appbank.net/2022/01/27/technology/2185746.php
- Source:AppBank
- Author:岩佐