アップルはセキュリティに対していつになったら真剣に取り組むのか
タレコミ by taraiok
taraiok 曰く、
3月22日、AppleはApple IDのパスワード再設定ページで、ユーザーのメールアドレスと誕生日がわかっていれば、パスワードをリセットできる脆弱性が発見されたので修正したと発表した。修正は行われたものの、修正には数日の日数を要したものと見られている(/.J過去記事)。この脆弱性問題を最初に取り上げたTHE VERGEに「Appleはセキュリティに対していつになったら真剣に取り組むのか」という記事が掲載されている。この脆弱性を悪用すれば、電子メール、iMessage、iChatを使ったなりすましができ、クラウド上に置かれているデバイスのバックアップ、クレジットカード番号とアドレスなどをほとんどの個人情報を抜くことができた(THE VERGE、本家/.)。
記事では、この脆弱性は技術的には非常に初歩的なもので、二階の窓の鍵は掛けたものの、正面玄関を開けたままにしたようなものだと指摘している。また、こうしたセキュリティ対策はAppleの収益に直接寄与しない点から優先順位が低く、Appleの取り組みに真剣みが足りないとしている。さらに、AmazonやMicrosoftなどの多くのクラウド・サービス・プロバイダは、詳細なプライバシーとセキュリティポリシーを持っており、セキュリティを調査するために第三者機関にチェックさせるなどの努力している。しかし、Appleは秘密主義を貫いており、外部の人間どころか社内の開発者に対しても、セキュリティ監査がどう行われるかを明らかにしていない。
本家/.のタレコミによれば、こうしたことを証明するかのように、最近ではiOSアプリの開発者を中心にiMessageを利用した大量のスパム攻撃が発生しているという。強制的にテキストでiOSまたはMac上のMessagesアプリを埋めることでシステムが機能不全になるなるケースもあるようだ。TNWの記事によれば、Appleはメッセージの送付方法に制限を掛けていないため、攻撃者が数千のメッセージを素早く送ることができるとしている(TNW、CNET)。