Buipe

AirDropは、Appleユーザーが様々なデータを他のユーザーと簡単に共有できる便利な機能です。AirDropは私たちの生活を便利にする一方で、iPhoneの電話番号が漏洩することで、盗聴の被害に遭う危険性があることが最近発見されました。Macでは、同じ脆弱性によりコンピュータのMACアドレスが漏洩する可能性があります。

電話番号とMACアドレスの共有脆弱性はAirDropだけに限りません。iOSのWi-Fiパスワード共有機能も暗号化ハッシュをブロードキャストしており、ハッカーはこれをiPhoneの電話番号に変換できます。Wi-Fi共有機能の場合、iPhoneはユーザーの電話番号、メールアドレス、Apple IDをSHA256ハッシュでブロードキャストします。多くのユーザーは自分の電話番号を既に知っているため、周囲の人に公開されることを気にしませんが、この脆弱性が懸念されるのは公共の場です。そこでは、見知らぬ人があなたの電話番号を入手し、それを使ってウェブからあなたに関する詳細情報を抜き出す可能性があります。また、企業はこの情報を利用して、さまざまな小売店におけるあなたの行動を追跡することもできます。

AirDrop機能がオンになると、iPhoneはユーザーの電話番号を含むSHA256ハッシュの最初の3バイトをブロードキャストします。これは、接続先のデバイスがユーザーの連絡先に登録されているか、iPhoneの所有者が信頼する人物であることを確認するためです。しかし、セキュリティ企業Hexwayの研究者によると、この3バイトには電話番号全体を抽出できる十分な情報が含まれているとのことです。

この脆弱性に関するレポートを公開したセキュリティ企業Hexwayは、近くにあるiPhoneやApple Watchから電話番号などの情報を抽出できる概念実証ソフトウェアも開発しました。このソフトウェアは、無線パケットスニファードングルを搭載したノートパソコンで動作させる必要があります。

Appleがそれを防ぐためにできることはあまりない

Errata SecurityのCEO、ロブ・グラハム氏は、iPhoneが信頼できるデバイスに接続してAirDropデータを共有していることを確認するために、SHA256ハッシュで電話番号の一部をブロードキャストする必要があるため、今後このようなことが起こるのを防ぐためにAppleができることは多くないと述べた。

Apple は、SHA256 ハッシュでユーザーの電話番号を共有することで、ユーザーの電話番号を発見しにくくしようとしてきたが、AirDrop のような便利な機能も提供しながら同社が実行できるのはそこまでだ。