iPhone：サイバースパイ活動の専門家によると、iOSのセキュリティは「損傷している」

政府や機関に代わってサイバースパイ活動を専門とする Zerodium は、現在 iPhone にはセキュリティ上の脆弱性が非常に多く存在しているため、研究者から新しい脆弱性を常に購入する必要はもはやないと考えています。そしてiOSのセキュリティは「損傷している」と結論付けています。

政府や警察にサイバースパイソリューションを販売する会社ゼロジウムの社長、チャオクリ・ベカール氏がツイートの1つで攻撃されたiPhone オペレーティング システムのセキュリティ。彼はTwitterで次のように説明しています。「iOSのセキュリティはめちゃくちゃだ。特権属性証明書 (PAC) と非永続デバイスのみが保持され、それがゼロになるのを防ぎます。それでも、PAC を回避するかなりの数のエクスプロイトが確認されており、永続性 (0 デイ) に関するエクスプロイトもいくつかあります。すべての iPhone/iPad で動作します。 iOS 14 ではさらに改善されることを願っています。」

Zerodium は事業の一環として、通常、脆弱性の重大度に応じて 10 万ドルから 200 万ドルの金額でゼロデイ脆弱性を研究者から購入します。ゼロデイ欠陥とは、まだ公式には発見されておらず、パッチも存在しない欠陥です。そのため、Cyaoukri Bekar のツイートと同時に、Zerodium も次のような発表を行いました。今後 2 ～ 3 か月間、iOS LPE、Safari RCE、またはサンドボックス エスケープに関する脆弱性を購入することはありません。」

ゼロジウムは決定が下されたことを明記しています。」もっているこれらのベクトルにリンクされた投稿が多数あるためです。」。したがって「持続性のない（エクスプロイトの）価格は近い将来下落する可能性が高い」。脆弱性の数が爆発的に増加していることは、iOS にとってかなり前例のない、そして憂慮すべき事実です。 Android よりもはるかに閉鎖的なオペレーティング システムは、通常、後者よりも安全であると考えられています。それにもかかわらず、Apple は利点を維持しています。欠陥が正式に発見された場合、同社は自社のデバイス全体を非常に簡単かつ迅速にアップデートできるのです。

こちらもお読みください:セキュリティ侵害 – iOS 13 ではクレジット カード情報が見知らぬ人に共有される

これらの発言についてどう思いますか? Appleは自社のやり方を何か変える必要があるだろうか？コメントであなたの意見を共有してください。