iOS 7に重大な欠陥が発見されました。この脆弱性により、通常必要なパスワードを入力せずに、重要な「iPhoneを探す」機能を無効にできてしまう可能性があります。盗難されたデバイスでこの機能をオフにすると、Appleの位置情報サービスからそのデバイスが検出できなくなります。
さらに悪いことに、この脆弱性を悪用するのはそれほど難しくありません。iOS 7.0.4を搭載したデバイスであれば、設定アプリのiCloudセクションで変更を加え、ダミーのパスワードを入力するという簡単な手順で、このバグを再現できます。
以下は、MacRumors が最初に発見したこの欠陥のビデオデモです。
http://www.youtube.com/watch?v=QnPk4RRWjic
そして、バグを発見した人からの付随テキストは次のとおりです。
「iPhoneを探す」のiCloudロックバイパスに重大なセキュリティ欠陥。アクティベーションロックバイパス。 この動画は、Appleの「iPhoneを探す」機能にセキュリティ上の欠陥があることを示し、Appleがこれを修正できるようにするためのものです。Appleに連絡を試みましたが、返答はありませんでした。」
もちろん、Touch IDやパスコードが有効になっているデバイスでは、この脆弱性は機能しません。攻撃者は設定アプリにアクセスするにはロック画面を通過する必要があり、このバグによってアクティベーションロックが無効化される可能性も低いためです。しかし、それでもなお、セキュリティ上の大きな懸念事項であることに変わりはありません。
iOS 7.0.4を搭載したiPhone 5sでこのバグを再現することに成功し、MacRumorsもiPadで同様のバグが存在することを確認しています。ただし、朗報としては、同サイトによるとiOS 7.1を搭載したデバイスでは問題を再現できなかったとのことで、近いうちに修正プログラムが公開されると思われます。
