セキュリティに関しては、Apple は iOS プラットフォームが悪用されにくくなるように多大な努力を払っており、サンドボックス環境、アプリ空間の保護、さらには iPhone で作成されたすべてのファイルをユーザーのパスコードでラップされた独自の暗号化キーで暗号化するなどの対策を講じています。
しかし、開発者はアプリのセキュリティをAppleにますます依存するようになり、その結果、多くのアプリ開発者にとってセキュリティは後回しにされるようになりました。だからこそ、ラスベガスで開催されたサイバーセキュリティカンファレンス「Black Hat」に参加したセキュリティ専門家たちは、開発者は自ら対策を講じ、Appleの組み込みセキュリティ機能に加えて、より高度なセキュリティ対策を講じるべきだと考えています。
CNNの記者デビッド・ゴールドマンは、HartfordBusinessの投稿で、上級法医学科学者ジョナサン・ズジアルスキーのプレゼンテーションを引用し、ハッカーが携帯電話のすべてのアプリをハッキングするために必要なことは、デバイスを盗み、Appleよりも先にiOSの脆弱性を発見して悪用することだけだと説明している。
次に、Zdziarski 氏は考えられるシナリオの 1 つを概説します。
例えば、PayPalアプリのバグにより、ハッカーは盗難されたiPhoneに悪意のあるコードを仕込み、ユーザーが入力したログイン情報をすべて取得することが可能になります。これは考えにくいことです。ハッカーがiPhoneを操作してこれを実行するには、所有者にiPhoneを返却するまでに約20分かかります。しかし、重要なのは、それが可能であり、そしてあってはならないということです。
PayPalは「問題を調査中」です。
不安です。PayPalのiPhoneアプリを毎日使っていますが、ログイン情報が簡単に漏洩する可能性があるとは知りませんでした。
同氏はまた、ユーザーが以前ログインしたことのあるアプリに戻るたびに、Apple はパスワードの確認を強制すべきだと述べている。
これも正当な指摘です。一部のアプリではオプションとして提供されていますが、システム全体でのソリューションの方がはるかに優れているでしょう。
たとえば、Dropbox の公式 iOS クライアントでは、Dropbox から別のアプリに切り替えるたびに有効になるアプリ ロック コードを設定で設定できます。
さて、Appleのプラットフォームセキュリティチームマネージャーであるダラス・デ・アトリー氏が、Black Hatサイバーセキュリティカンファレンス(Appleが初めて参加)でプレゼンテーションを行いました。
しかし、彼のスピーチは、主にAppleが以前に公開したiOSセキュリティに関するホワイトペーパーから抜粋した内容だったため、「まあまあ」という反応だった。
ニューヨークタイムズ紙は、デ・アトリー氏は「基本的に、パワーポイントのスライドに合わせてホワイトペーパーを朗読し、その後、一切の質問に答えることなく通用口から逃げ出したのと同じことをした」と書いている。
Atley 氏のプレゼンテーションでは、iOS セキュリティに対する Apple のアプローチが次のように繰り返し述べられました。
「セキュリティはアーキテクチャそのものだというのが私たちの考え方です。最初から組み込まれていなければなりません」とデ・アトリー氏は述べた。iPhoneの開発において、Appleは必要最低限のコンポーネントのみを使用するアプローチを採用したとデ・アトリー氏は述べた。
Appleは意図的に、この端末にシェルを搭載せず、リモートログインもサポートしないことを決定した。「iOSには、根本的に心配する必要のない攻撃ベクトルが数多く存在します」と彼は述べた。
同氏はまた、Appleが導入しているサンドボックス技術のいくつかについても概説し、Appleの目標は「プロセスを物理的に隔離・分離して、1つのプロセスに欠陥があってもシステムの他の部分に簡単に大混乱をもたらさないようにすること」だと述べた。
このサンドボックス化のいくつかの例:
例えば、彼はすべてのサードパーティ製アプリがユーザーのデバイス上の独自のコンテナに保存されていることを指摘しました。ユーザーデータはデバイスのオペレーティングシステムとは分離されているため、システムの更新がユーザーの個人データに影響を与えることはありません。
同氏は、iPhone で作成されたすべてのファイルには独自の暗号化キーが割り当てられ、ユーザーのパスコードでラップされていると付け加えた。
カンファレンスの参加者がアトリー氏のプレゼンテーションを批判していることから、クパチーノはおそらく iOS のセキュリティをじっくり検討し、サードパーティ製アプリがログイン認証情報を扱う方法についてより厳格なルールを課すべきだろう。
私としてはこれを歓迎します。
アプリがログイン認証情報をデバイス上にプレーンテキストで保存して個人情報を公開しないことを確認し、安全を確保したいだけです。
ああ、それは本当の問題です。
ご意見は?
