「探す」の危険な脆弱性がAppleに「頭痛の種」

Android Policeによると、ユーザーを盗難から守る「要塞」とみなされている Apple の「デバイスを探す」追跡ネットワークに深刻な脆弱性があることが最近発見され、ハッカーが Android スマートフォンを含むあらゆるデバイスを偽の AirTag に変えて密かにその位置を追跡できるようになるという。

写真：フォーブスのスクリーンショット

Find Myは危険な脆弱性のためにハッカーに悪用される

米国のジョージ・メイソン大学の研究によると、この脆弱性はAppleの暗号保護対策を突破し、「nRootTag」と呼ばれる柔軟な鍵の作成を可能にすることに起因しています。巨大なGPUシステムの計算能力を活用することで、ハッカーは通常のセキュリティチェックを回避し、最大90%の確率でAirTagを偽造することが可能です。

この攻撃は、「探す」ネットワークを騙して、標的のデバイスを紛失したAirTagとして認識させることで機能します。偽のAirTagは近くのAppleデバイスにBluetooth信号をブロードキャストし、iCloud経由で攻撃者に位置情報データを密かに送信します。

研究者たちは一連のテストで、この脆弱性の正確な追跡能力を実証しました。コンピューターの動きを3メートル以内で追跡したり、街中を走る自転車のルートを辿ったり、さらにはビデオゲーム機を追跡するだけで人の飛行経路を再現したりすることができました。

懸念されるのは、この脆弱性が物理的な介入や特別なアクセスなしにリモートで悪用され、秘密の監視やプライバシー侵害のリスクが生じる可能性があることです。

注目すべきは、Appleがこの脆弱性について1年前に通知されていたにもかかわらず、未だに修正パッチを当てていないことです。研究者たちは、たとえパッチがリリースされたとしても、多くのユーザーがデバイスのアップデートを遅らせるため、リスクは解消されないだろうと警告しています。

Appleがこの問題に対処するのを待つ間、ユーザーはセキュリティ意識を高め、サイバー犯罪者の格好の餌食にならないよう定期的にデバイスを更新する必要がある。