「iPhone 13」が9月24日に発売され、注目が集まっているアップル。アップル製品といえば、セキュリティの安全性に定評がある。それもそのはず、同社ではセキュリティへの取り組みとして、バグを発見、共有した研究者に対して報酬を支払う「Apple Security Bounty」というプログラムを展開している。しかし今回、そのセキュリティに存在する脆弱性の内容が公開されたのだ……。
今回はセキュリティ研究者のillusionofchaos氏が公表した「iOSに関する4つの脆弱性」について紹介しよう。
脆弱性を放置してiOSをリリースしたアップルの対応
(画像=(Image:Robert Way / Shutterstock.com)アップルは新発売したiPhone 13で忙しくて対応できなかったのか……、『オトナライフ』より引用)
illusionofchaos氏は、2021年3月10日から5月4日までの約2カ月間で、iOSに関する脆弱性を複数発見し、アップルに報告したとのこと。しかし報告した脆弱性のうちiOS 15.0までに修正が施されたのは、iOS 14.7で修正された1つのみ。残りの3つは放置されたままになっているという。同氏は以前からアップル側に説明を求めており、「回答が無い場合は3つの脆弱性を公開する」と警告していた。しかしアップルがこの警告を無視したため、脆弱性の詳細の公開に踏み切ったのだ。
また同氏は、今回の騒動でApple Security Bountyを痛烈に批判している。その背景には、同プログラムで以前から批判のあった「脆弱性が放置されている」「報奨金が不当に減額されている」といった問題も要因とのこと。次に、現時点(2021年9月29日現在)で放置されている3つの脆弱性を紹介しよう。
