sumikko.tokyo

Apple iOS に深刻な脆弱性

Google の Project Zero によると、 おしゃれで有名なりんご屋さんのデバイスの基本ソフトウェア iOS には いろいろな問題があるとのこと。

Attention!

関連記事すべてに目を通したわけではないのです。

一部はやや誇張・勘違いがあるかもしれません。

今回の iOS の問題の概要

  1. そもそも多数の脆弱性が積み重なってしまっている。
    • 範囲はカーネルを含め広範に渡っており潜在的被害リスクは大きそうです。
  2. 大雑把にいって「通信ダダ漏れ (暗号化してなさすぎ)」の様子。
    • 色んな情報を HTTP (非暗号化; HTTPS ではない) で通信しまくっている。
    • デバイスの情報のうち何が漏れているかは (sumikko.tokyo的に) 未確認。

仮に非暗号化 Wi-Fi (一部の無料のものなど) だと いろんな情報を詰めたパケットが周囲にバラマキ状態の様子です。

悪意のある Wi-Fi アクセスポイントを作成して 情報を密かに収集している可能性もありと考えていたほうが無難でしょう。

最近の傾向として「(掌握されるまで)気づけない」ので余計に危ないです。

具体的な情報源

詳細は Google Project Zero の記事 をご覧ください。[1]

特に HTTP で各種情報が「暗号化されず」送信されまくっている点は Implant Teardown に記載があります。[1]

There's something thus far which is conspicuous only by its absence: is any of this encrypted? The short answer is no: they really do POST everything via HTTP (not HTTPS) and there is no asymmetric (or even symmetric) encryption applied to the data which is uploaded.

—Google Project Zero: Implant Teardown (2019) より一部抜粋

Google も時々やらかしていますがその比でない予感です。

2019 年 9 月 2 日現時点で、 IPAのセキュリティ情報 はまだ掲載がありません。

ただし最低限、外出先などでフリー Wi-Fi は当面控えたほうがよいでしょう。

[1]かなり専門的です。
Published: (Modified: )