Appleはソフトウェアアップデートに組み込まれる新機能のほとんどについて、詳細をしっかりと公開していますが、中には大きな発表(あるいは直後のプレスリリースでさえ)には含まれない要素も存在します。また、ステージで披露されることを前提としていない要素もあり、それらはドキュメントの中に埋もれてしまうこともあります。しかし、だからといってそれらの要素の重要性が下がるわけではありません。
例えば、iOS 15とiPadOS 15のソフトウェアアップデートに関するAppleの新しいセキュリティドキュメントを見てみましょう。Face IDに関連する脆弱性については、これまであまり耳にしたことがありません。しかし、この生体認証セキュリティ対策に関連する脆弱性が存在し 、 Appleはそれを修正するために多大な努力を払ってきたことが判明しました。
ドキュメントによると、誰かが望めば特定のiPhone所有者の頭部の3Dモデルを作成できるとのことです。もしそのモデルが十分に精細であれば、Face IDを偽装してデバイスへのアクセスを許可される可能性があります。この修正は、Face IDを搭載したすべてのiPhoneモデルで利用可能です。
Apple はドキュメントの中でこれを次のように説明しています:
Face ID 搭載デバイスで利用可能: iPhone X、iPhone XR、iPhone XS (全モデル)、iPhone 11 (全モデル)、iPhone 12 (全モデル)、iPad Pro (11 インチ)、iPad Pro (第 3 世代)
影響: 登録されたユーザーのように見える3DモデルがFace IDで認証できる可能性がある
説明: この問題は、Face ID のなりすまし対策モデルを改善することで解決されました。
CVE-2021-30863: Ant-financial Light-Year Security Lab の Wish Wu (吴潍浠 @wish_wu)
セキュリティドキュメントには、Appleが何らかの形でパッチを適用した複数の脆弱性がリストアップされています。さらに、これらの脆弱性はいずれも実際に悪用されたことはないとドキュメントには記載されています。これは朗報です。しかし、たとえ現時点では積極的に悪用されていないとしても、これらの問題にできるだけ早くパッチを適用することが重要です。
