「iOS 10」、致命的な脆弱性が発覚ーーiTunesバックアップ用パスワードのクラックが容易に

「iOS 10」は、iTunesでバックアップを取る際びパスワード認証システムが以前のiOSバージョンよりもクラックされやすいことがElcomsoftの調べによって明らかになった。

これはMac/PCで作成された暗号化されたバックアップは一部のセキュリティチェックをスキップしているため、ブルートフォース（あらゆる文字列を組み合わせて総当りを試みるという、力ずくで暗号を解読してパスワードを取得する攻撃手法）で突破することが可能。

衝撃的なことに「iOS 9」よりも約2,500倍も簡単にクラックすることができてしまうほどセキュリティが脆弱であることが判明している！

「iOS 9」よりも2,500倍も弱いセキュリティ

iTunesバックアップに簡単に侵入することができるということは、ほぼすべての個人情報を抜き取ることができるということだ。友人の連絡先や写真、あらゆるウェブサービスへのパスワードなどなど。

幸いにもAppleはこの問題を既に認識しているようで対策を進めている模様。なお、今回の脆弱性はiCloudで取得されたバックアップは対象外。

Apple confirmed it was looking into the issue. “We’re aware of an issue that affects the encryption strength for backups of devices on iOS 10 when backing up to iTunes on the Mac or PC. We are addressing this issue in an upcoming security update. This does not affect iCloud backups,” a spokesperson said. “We recommend users ensure their Mac or PC are protected with strong passwords and can only be accessed by authorized users. Additional security is also available with FileVault whole disk encryption.”

via iPhone Hackers Say Apple Weakened Backup Security With iOS 10

それまでの対処法としてはMacやPCそのものを強固なパスワードで保護すること、そしてMacの場合は「システム環境設定＞セキュリティとプライバシー」のFileVaultを有効化することによってディスク内容を自動的に暗号化し、セキュリティを高めることができる。