iOS13.3でペアレントコントロールの抜け道発覚 AirDrop深刻バグは改修される
iPhoneの最新OSであるiOS13.3では、ペアレントコントロールに新機能が追加された。だが、この新機能を無効にしてしまう抜け道が発見された。その一方で、AirDropを悪用した攻撃には対処できるようになった。
連絡先とiCloudが同期していないと……
アメリカ大手総合メディア『CNBC』は12日、iOS13.3に実装されたペアレントコントロールの新機能にバグがあることを伝える記事を公開した。今回のiOSリリースで実装された新機能とは、子供がスマホを利用する時に連絡可能な連絡先を設定できる「通信/通話の制限」だ。この機能を活用すれば、子供は連絡先に登録されたユーザとしか通信できなくなる。裏を返せば、知らないヒトからの連絡や(いじめ等が原因で)通信するのが好ましくないヒトからの通信を遮断できるのだ。
上記新機能は、連絡先がiCloudに同期している時に正常に動作する。連絡先とiCloudが同期されていない場合、未知の連絡先からiPhoneにSMS送信すると、その連絡先が連絡先に追加することが可能となる。連絡先に追加されると、通話、SMS、そしてFaceTimeができてしまう。つまり、利用制限が無効化されてしまうのだ。
利用制限が無効化されるバグは、iPhoneとペアリングしたApple Watchを利用している時にも発生する。こうした条件でApple WatchからSiriに(連絡先に登録されていない)任意の連絡先に電話するように話しかけると、通話が確立してしまうのだ。
以上のバグに関してCNBCがAppleに問い合わせところ、「修正に取り組んでいる」とだけ伝えられた。同メディアは、iPhoneの「設定」から連絡先とiCloudが同期するように設定すれば発見されたバグは回避できる、とも述べている。
AirDropを悪用して締め出せた
子供を犯罪やスマホ依存症から守るペアレントコントロールでバグが発覚したものも、一方で改修された深刻なバグもある。ITセキュリティ専門ニュースメディア『Threatpost』は11日、AirDrop関連のバグがiOS13.3で改修されたことを報じる記事を公開した。
改修されたバグは、AirDropを使ってiPhoneにファイルを送信すると、ファイルを受信するか否かを確認するメッセージが画面に表示されるという仕様を悪用したものだ。AirDrop使用時に表示される確認メッセージは、ユーザがファイルを受け取るか拒否するかを選択しない限り消えることがない。それゆえ、AirDropから繰り返し絶え間なくファイルを送信し続けると、ユーザが事実上iPhoneをほとんど操作できなく状況に追い込むことができる。こうした手口は大量の情報を送信してウェブサービスに打撃を与えるサイバー攻撃である「DoS攻撃」に似ていることから、「AirDoS」と呼ばれるようになった。
AirDoSを今年8月に発見したセキュリティ研究者Kishan Bagaria氏は、iOS13.3をインストールすると回避できたと語っている。同氏はそのほかの回避策として、iPhoneのBluetoothあるいはWi-Fiをオフにすることも提案している。もっとも、後者の回避策はサイバー攻撃を防御するために本来利用できる機能をオフにしてしまうので、本末転倒な感は否めない。この回避策は、iOS13.3をインストールしていない時にAirDoSに見舞われた時の緊急策と捉えるべきだろう。