iOSがホットスポット機能に提供するデフォルトパスワードの使用を再考する必要があるかもしれません。ドイツの大学の研究者が、攻撃者がiOSのデフォルトホットスポットパスワードを1分以内に解読できる脆弱性について警告しています。Windows Phoneはさらに弱いパスワードを使用しており、一部のAndroidベンダーはWi-Fi関連コンポーネントを変更することでデバイスのセキュリティを弱めていますが、Appleの問題は、iOSがわずか1,842個の異なるエントリからなる辞書を使用して「ランダム」なホットスポットパスワードを生成していることです。
ZDNet のマイケル・リー氏は、ドイツのエアランゲン大学の研究者による衝撃的な研究結果を指摘し、iOS がスクラブル ゲームの 52,500 語の辞書を使ってデフォルトのホットスポット パスワードを作成していることを発見したと述べている。
Apple はこの辞書の単語にランダムに生成した数字を付加しているが、攻撃者が弱いパスワードを解読するのを阻止することはできない。
研究者たちは次のように説明している。
このリストは約52,500件のエントリで構成されており、オープンソースのスクラブルクロスワードゲームから派生したものです。この非公式のスクラブル単語リストをオフライン辞書攻撃に利用することで、iOSホットスポットの任意のデフォルトパスワードを100%の確率で解読することができました。
これらのパスワードを解読するには、かなりのパワーが必要です。研究者たちは、4基のAMD Radeon HD 7970で構成されたGPUクラスターを使用しました。Wi-Fi接続のハンドシェイクをキャプチャした後、研究者たちはAMDハードウェアを使用して、リスト内のすべての項目(追加の数字の順列を含む)を反復処理しました。
このハードウェアは、わずか 50 秒以内にデフォルトの iOS ホットスポット パスワードを解読できます。
Apple がスクラブル辞書から 1,842 語だけを使用しているように見えることも、状況を悪化させている。
「その結果、任意の iOS モバイル ホットスポット内で使用されるデフォルトのパスワードは、これら 1,842 個の異なる単語のいずれかに基づいている」と研究ノートでは説明されている。
Windows PhoneとAndroidでは状況がさらに悪く、Androidではデフォルトのホットスポットパスワードが8桁の数字のみで生成されます。Androidは強力なパスワードを生成しますが、「一部のベンダーは、自社のデバイスに使用されているWi-Fi関連コンポーネントを改変し、デフォルトパスワード生成アルゴリズムを弱体化させています」。
この問題は、特にユーザーが MacBook、iPad、その他のデバイスを iOS デバイスで作成されたホットスポットに接続する場合に、深刻なセキュリティ上の懸念を引き起こします。
セキュリティを強化し、盗聴の可能性を防ぐために、iOS がランダムに生成するデフォルトのホットスポット パスワードを受け入れないことをお勧めします。
代わりに、[設定] > [パーソナルホットスポット] を使用して、デフォルトのパスワードを、誕生日、配偶者の名前、その他のよく使用される簡単に推測される用語を含まない、独自に生成した強力なパスワードに置き換えます。
