iPhone と iPad のバックドアを利用した監視の可能性が明らかに

7月 25, 2014 Sophos Press Release

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※
by John Zorabedian on July 23, 2014
この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。

iphone. Image courtesy of st.djura/Shutterstock.警察やハッカーが、iPhone や iPad からどの程度のデータ (暗号化したものも含めて) を取得できると思いますか?

すべてのデータを取得可能だとしたら、どうでしょう?

Apple 社が開発者向けとして iOS に組み込んだ「バックドア」を、政府、警察、またはサイバー犯罪者が iPhone や iPad の監視のために使用する可能性があることを、科学捜査専門家の Jonathan Zdziarski 氏が報告しました。

バックドアを監視行為で利用するには、iOS ペアリング と呼ばれる機能により iOS デバイスを別のコンピュータに同期させる必要があります。

Apple 社のデバイスと PC または Mac とのペアリングが設定されると、暗号鍵や証明書の交換により暗号化された SSL トンネルが確立されます。iPhone や iPad を工場出荷状態に戻さない限り、鍵が削除されることはありません。

ハッカーは、何らかの方法で、スパイウェアをコンピュータに感染させ、ペアリング鍵を盗み、この鍵を使用して Wi-Fi 経由でデバイスに接続 できます。

iPhone や iPad は、認識している名前の Wi-Fi ネットワークに自動的に接続 します。このため、なりすましのネットワーク名を使用したホットスポットを配置した攻撃者が、デバイスを接続させてデータをすべて窃取する可能性があります。

7 月 18 日、Zdziarski 氏は HOPE X ハッカー会議での講演において、Apple 社のバックドアが開発者や Appe 社自体が必要とする範囲を超えた個人データへのアクセスを可能にしていると述べました。

スノーデン氏の告発により米国国家安全保障局 (NSA) が iPhone、Android、および BlackBerry のバックドアを使用していたことが明らかになったことに触れた Zdziarski 氏は、NSA がアップル社のバックドアを使用して iPhone や iPad に容易にアクセスした可能性があることも示唆しました。

メディアからの問い合わせに対する Apple 社の回答で、同社はペアリングによるアクセスを認めています。

しかし、Zdziarski 氏がバックドアと呼ぶ機能について、Apple 社は開発者や企業の IT 部門による「トラブルシューティング」のために必要な「診断機能」であるとしています。

さらに Apple 社は、NSA や「いかなる国」の政府との協力についても全面的に否定しています。

We have designed iOS so that its diagnostic functions do not compromise user privacy and security, but still provides needed information to enterprise IT departments, developers and Apple for troubleshooting technical issues.

(引用文日本語訳) 当社は、診断機能がユーザーのプライバシーやセキュリティを侵害せずに、企業の IT 部門、開発者、および Apple が技術的問題のトラブルシューティングに必要な情報を提供するように、iOS を設計しています。

A user must have unlocked their device and agreed to trust another computer before that computer is able to access this limited diagnostic data. The user must agree to share this information, and data is never transferred without their consent.

ユーザーがデバイスのロックを解除し、別のコンピュータを信頼することに同意した上でなければ、コンピュータはこの限定的な診断データにアクセスできません。ユーザーはこの情報を共有することに同意している必要があり、ユーザーの同意なしにデータが転送されることはありません。

As we have said before, Apple has never worked with any government agency from any country to create a backdoor in any of our products or services.

以前にもお伝えしたとおり、Apple はいかなる国の政府に対しても、製品またはサービスにバックドアを作成するために連携したことはありません。

Zdziarski 氏は自身のブログで、Apple 社が NSA と共謀しているとは考えていないと説明する一方で、これらの機能 (または欠陥) が iOS に存在すべきではないと述べています。

Zdziarski 氏は、次のように説明しています。

Apple’s seeming admission to having these back doors, however legitimate a use they serve Apple, unfortunately have opened up some serious privacy weaknesses as well.

(引用文日本語訳)これらのバックドアについて Apple 社は認めているようですが、Apple 社での用途がいかに合法的であれ、残念ながらこれによって深刻なプライバシー上の脆弱性が作り出されています。

I think at the very least, this warrants an explanation and disclosure to the some 600 million customers out there running iOS devices.

少なくとも、iOS デバイスを使用する約 6 億人の顧客に対して、この問題に関する説明と情報公開が行われるべきでしょう。

これらのセキュリティ上の抜け穴について何も公表されていないのが不可解ですが、Apple 社は少なくとも情報の公開については責務を果たしたようです。

Apple 社がこの機能を撤回する可能性はあるでしょうか?

Apple 本社のプログラマーがライブラリの削除を指示されたり、またはアプリケーションのデバッグを行う開発者のみに使用が制限されたりすることは、今後あり得るでしょうか?

Apple 社があえて手間をかけて構築した機能であることを考慮すれば、そのような可能性はまずないでしょう。