昨日(米国時間2/21)Appleは、iOS 7のセキュリティ関連のバグを直したと発表した。今日(米国時間2/22)になってWebのセキュリティの専門家たちが、パッチを解析してバグの正体を突き止めた。それはどうやら、相当深刻なバグのようだ。
Wired誌に、そのおそろしい詳細が載っている:
“Appleの昨日の発表があまりに簡潔なので、インターネットの暗号に関する高名な専門家たちは、そのバグの性質について訝(いぶか)った。バグの詳細を非公開で調べ始めた彼らは、いろいろ分かってくるにつれて、仰天のあまり沈黙してしまった。ジョンズホプキンズ大学の暗号学の教授Matthew GreenはTwitterのツイートで、‘Appleのバグの正体が分かった。相当ひどいバグだ’、と述べた”。
Wiredによると、Appleの史上最大のセキュリティ過失と言われるかもしれないこのバグの正体は、認証のコード中にあった要らざるgoto文だった。その余計な1行のおかげで、認証プロトコルのその後の部分を完全にバイパスしてしまうことができるのだ。
金曜日(2/21)に発行されたReutersの記事によると、ハッカーはそのバグを悪用して、メールをはじめ、暗号化されているはずの通信の内容を横取りできる。
一方ZDNetは、Macにも同じバグがあって、そっちは直っていないかもしれない、と言っている。
ZDNetの編集者Larry Seltzerは、こう書いている:
間違いなくこのバグは、きわめて深刻なバグだ。このバグのおかげで、SSL/TLSによる通信の傍受が簡単にできてしまう。今インターネット上で使われている、いわゆる‘セキュアな通信’の大半が、このプロトコルによるものである。したがって、場合によっては甚大な被害が生じうる”。
ZDnetの詳細記事がここにある。
写真: Flickr/aditza121
〔関連記事。〕
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))