Appleが今年のBlack Hat Conferenceで行った「iOSセキュリティの舞台裏」プレゼンテーションの全編を視聴できるようになりました。同社のセキュリティエンジニアリング責任者であるIvan Krstic氏が出演したこの講演のビデオが、Black Hatの公式YouTubeページに投稿されました。
Appleは通常このイベントを欠席するため、今回のカンファレンスへの参加は良い気分転換となった。Krstic氏は、HomeKitやiCloud Keychainといった、極めて機密性の高いユーザーデータを扱うサービスで彼のチームが使用している技術など、幅広いトピックについて説明した。
10億台を超えるアクティブデバイスと、シリコンからソフトウェアまであらゆるレイヤーに及ぶ徹底的なセキュリティ保護を備えたAppleは、iOSのリリースごとにモバイルセキュリティの最先端技術の進化に取り組んでいます。本記事では、iOS 10で新たに追加された3つのセキュリティメカニズムについて、これまでにない技術的詳細を解説します。そのうちの1つについては、初めて公開します。
HomeKit、自動ロック解除、iCloudキーチェーンは、極めて機密性の高いユーザーデータを取り扱う3つのAppleテクノロジーです。それぞれ、ユーザーの自宅にあるデバイス(ロックを含む)の制御、Apple WatchからユーザーのMacのロックを解除する機能、そしてユーザーのパスワードとクレジットカード情報です。本講演では、Appleに機密データを公開することなくデバイス間で機密データを転送する、革新的なセキュア同期ファブリックの暗号設計と実装について解説します。このファブリックは、デバイスを紛失した場合でもユーザーがデータを復元できる機能を提供します。
データ保護は、すべてのiOSデバイス上のユーザーデータを保護する暗号化システムです。iPhone 5S以降のデバイスに搭載されているセキュアエンクレーブプロセッサについて解説し、このプロセッサがどのようにしてデータ保護鍵導出とブルートフォース攻撃によるレート制限を小規模なTCB内で実現し、中間鍵や導出鍵を通常のアプリケーションプロセッサで利用できないようにしたのかを説明します。
従来のブラウザベースの脆弱性は、緩和策の高度化により、悪用が困難になっています。iOS 10の独自のJIT強化メカニズムについて解説します。このメカニズムにより、iOS Safari JITはより攻撃されにくくなります。
AppleはBlack Hatでプレゼンテーションに加え、新たなバグ報奨金プログラムを発表し、注目を集めました。このプログラムは当初は招待制で、実証可能な脆弱性に対し、深刻度と発生場所に応じて2万5千ドルから20万ドルの賞金が支払われます。
出典: ブラックハット
