Appleは今週、1月下旬に明らかになったFaceTimeの重大なセキュリティ脆弱性を修正するため、macOSとiOSのアップデートをリリースした。この脆弱性は、通話者が対象デバイスのマイクを密かに起動できるというものだった。しかし、この脆弱性が懸念されるのは、セキュリティリスクだけでなく、Appleに報告できる脆弱性の重要性に関する示唆も含まれている。
グループFaceTime通話は、2018年後半にiOS 12と同時に導入されました。この機能はAppleの人気ビデオ通話サービスの機能を拡張しましたが、セキュリティ上の問題も引き起こしました。その脆弱性は、その名の通り深刻でした。誰かがFaceTime通話を開始し、相手のマイクをオンにして、相手に知られずに盗聴される可能性がありました。さらに悪いことに、iPhoneのサイドボタンを押して通話を拒否すると、実際には前面カメラがオンになってしまうという問題がありました。
Appleは当初、この脆弱性の公開後数日以内にmacOSとiOSのアップデートをリリースすると発表していました。しかし、世論の反発を受け、1月28日にサーバー側でFaceTimeのグループ通話を無効化しました。そして、2月7日にOSのアップデートをリリースしました。
しかし、Appleが批判されたのは、人気コミュニケーションプラットフォームの重大なセキュリティ脆弱性を数日間放置するという当初の計画だけではありません。10代の若者とその母親が、この脆弱性を公表するために大変な苦労を強いられたという事実が明るみに出た後も、Appleは非難を浴びました。
Apple製品のバグ報告について少し触れておきます。カスタマーサポートにメールで連絡するだけで済む場合もあります。しかし、多くの場合は「レーダー」を作成する必要があります。一般の人が新しいレーダーを作成することはできません。開発者アカウントに登録する必要があります。そして、そのレーダーの扱いはAppleが決定します。これは、多くのテクノロジー企業がバグ報告、特に自社製品の脆弱性に関する報告を処理する方法とは対照的です。ほとんどの企業は、問題を簡単に開示し、発見者に欠陥の深刻度に応じて報酬を支払います。開発者プログラムへの登録を求めることはありません。
おそらくこの話の展開はお分かりでしょう。この欠陥を発見した母子二人は、Appleのカスタマーサポートに報告しようとしました。彼らは開発者アカウントに登録し、レーダーを提出し、問題に関するできるだけ多くの詳細情報を提出するように指示されました。その間、欠陥はそのまま残りました。
あるセキュリティ研究者は、表面上は安全なパスワードを攻撃者が盗む可能性のあるmacOSの脆弱性に関する情報の共有を拒否することで、FaceTimeの欠陥を公表した人々に報酬を支払わないというAppleの決定に抗議した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、この点に関しては朗報もあります。Appleは、この欠陥を発見した子供に補償金を支払う予定です(母親が受け取る金額は明らかにされていません)。The Vergeによると、Appleは「グラント・トンプソンの学費を賄うための追加支援金も提供する」とのことです。具体的な金額は明らかにされていません。
残る疑問
問題は、これがAppleの構造改革につながるかどうか、そして同じ欠陥を公表しようとした他の人々がどのように補償されるかです。少なくとももう1人が、この欠陥が公表される前にAppleに報告したと名乗り出ています。どのように対処されるのでしょうか?
そして、欠陥を認めてもらうために、おそらく興味がないであろう面倒な手続きや開発者プログラムへの登録が必要なら、熱心なユーザーに悪影響を及ぼす可能性のあるセキュリティ上の欠陥を人々が報告してくれると Apple はどうして期待できるのだろうか?
Appleはこの脆弱性を他社よりも上手く対処しました。サーバー側でグループFaceTimeを無効化し、数日後にリリースされたOSアップデートに、より永続的な解決策を同梱しました。しかし、開示プロセス、そして当初この脆弱性を数日間放置するというAppleの計画は、Appleがもっと良い解決策を講じることができたのではないかという疑問を生じさせます。
この脆弱性やその他の脆弱性を修正したオペレーティングシステムのアップデートが現在利用可能です。macOSまたはiOSデバイスのアップデート手順は、Appleのサポートウェブサイトをご覧ください。
