iOS 13に「設定に保存された全てのID、パスワードを入手できる」不具合が見つかる

 Appleのモバイル・オペレーティング・システムiOS 13ベータ版に重大なバグがあることが分かった。Appleは7月2日にiOS 13 ベータ3を開発者向けにリリースしていたが、Face IDまたはTouch ID認証を迂回し、iCloudキーチェーンに非常に簡単にアクセスできるようになっているという。

重大なセキュリティ脆弱性、ベータ版実行はリスク

 これは、画面を繰り返しタップすると、(特定のベータ版を実行しているiPhoneかiPadがアンロックされている必要はあるが)Face IDやTouch IDを表示しなくても、ウェブサイトとアプリのパスワードデータにアクセスし、設定に保存されたすべてのユーザー名とパスワードを入手できてしまうというもの。この問題は電子掲示板サイト『Reddit』で最初に指摘され、iOS 13のフィードバックアプリを介して、Appleには通知がなされた。

 Appleはユーザーに予定より早くiOS13のベータ版をリリースしたが、今回のバグが見つかったのは、テストプロセスが始まってから、わずか6週間でのことだ。

 Apple専門のニュースサイト『9to5Mac』は、「iOSベータ版を実行することで、ある程度のリスクを受け入れることになり、この脆弱性はそのようなリスクの一例だ。しかし、そのような大きなセキュリティホールが、iOS 13のパブリックベータ版に存在していることは注目に値する。iOS 13ベータ版が完ぺきで、安全で安定していることを期待するべきではない」と記している(参考:https://9to5mac.com/2019/07/15/ios-13-password-bug/)。

 テクノロジーニュースサイト『Techspot』は「特定のベータ版を実行しているiPhoneかiPadがアンロックされている必要があるが、ユーザーが気を付けるべき重大なセキュリティ上の脅威だ」としている(参考:https://www.techspot.com/news/80971-vulnerability-ios-13-beta-gives-unauthenticated-access-stored.html)。

iOS 13は2019年秋に一般リリース、新機能あれこれ

 iOS 13は、2019年秋に一般向けに実装される予定だ。対応しているのは、iPhoneがiPhone 6sかそれ以降の機種で、iPhone SEも含まれ、iPod touchでは iPod touch 7のみとなる。

 iOS 13の新たな機能については、例えばバッテリー充電を最適化し、完全に充電された状態の時間を減らすことで、バッテリーの劣化速度を遅らせる新しいオプションがある。端末内蔵の機械学習で充電の習慣を把握し、必要性がなければ充電が80パーセントを超えないようにするというものだ。

 写真アプリケーションは、エフェクトをスワイプで簡単に調整出来る新たな編集機能も加わり、マップアプリケーションでは、時刻表、到着時刻、停止情報、乗換案内、停電・運休などリアルタイムで提供される交通機関情報で、経路のプランニングがし易くなっている。

 プライバシーについては、アプリケーションの位置情報使用を許可するか自分で選択し透明性を保ち、公開する写真の位置情報も管理出来て、Bluetooth使用時にアプリケーションが位置情報に無断でアクセスすることも防ぐようになり、Eメールアドレスを特定のアプリケーションと共有したくない場合は、隠してAppleがEメールアドレスを作成し、本当のEメールアドレスに転送する方法も選べる。

 ほかにも、Apple IDだけでサインインできる機能が追加されているが、Apple IDが2段階認証で保護されている必要があるなど、ユーザービリティ・セキュリティの面で細かくはあるが重要なアップデートがなされている。

関連記事