アップルがiOS 15.2.1リリース、iPhoneとiPadにHomeKitの欠陥に対するパッチを適用

Apple(アップル)は、iOSおよびiPadOSに存在するセキュリティ脆弱性を修正した。この脆弱性は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性がある。

Appleは米国時間1月12日にiOS 15.2.1およびiPadOS 15.2.1をリリースし、セキュリティ研究者のTrevor Spiniolas(トレバー・スピニオラス)氏によって1月初めに開示された、いわゆる「doorLock」と呼ばれる欠陥を修正した。このバグはiOS 14.7からiOS 15.2を搭載したiPhoneおよびiPadに影響するもので、Appleのスマートホーム基盤であるHomeKitを介して発生する。

このバグを悪用するには、攻撃者はHomeKitデバイスの名前を50万文字を超える文字列に変更する必要がある。この文字列がユーザーのiPhoneやiPadに読み込まれると、デバイスのソフトウェアがサービス拒否(DoS)状態に陥り、フリーズを解除するために強制リセットが必要になる。しかし、デバイスが再起動し、ユーザーがHomeKitにリンクされたiCloudアカウントにサインインし直すと、再びバグがトリガーされる。

ユーザーがHomeKitでデバイスを1つも追加していなくても、攻撃者は偽のHomeネットワークを作成し、フィッシングメールでユーザーを騙して参加させることができる。さらに悪いことに、攻撃者はdoorLock脆弱性を利用して、iOSユーザーに対してランサムウェア攻撃を仕かけ、デバイスを使用できない状態にロックして、HomeKitデバイスを安全な文字列長に戻すために身代金の支払いを要求することができると、スピニオラス氏は警告している。

スピニオラス氏によると、Appleは2021年のセキュリティアップデートでこの問題を修正することを約束していたが、これが「2022年初頭」まで延期されたため、同氏はこの遅れがユーザーに「深刻なリスク」をもたらすことを恐れてバグを公開したとのこと。

「Appleはセキュリティ問題を確認し、私はこの4カ月間に何度もこの問題に真剣に取り組むよう彼らに促したにもかかわらず、ほとんど為されていませんでした」と同氏は書いている。「頻繁に要求したにもかかわらず、この問題に関するステータスの更新は稀で、並外れて少ない詳細情報しか得られなかったのです」。

「Appleの透明性の欠如は、しばしば無償で活動しているセキュリティ研究者を苛立たせるだけでなく、セキュリティ問題に関するAppleの説明責任を低下させることで、日々の生活でApple製品を使用している何百万人もの人々にリスクをもたらしています」とも。

このアップデートは現在ダウンロード可能で、iPhone 6s以降、iPad Pro全モデル、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)が対象となる。

画像クレジット:file photo

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。