ここから本文です

「iOS 10」のiTunes経由バックアップに脆弱性、「アップデートで修正する」とApple

ITmedia ニュース 9/26(月) 8:19配信

 米Appleが9月14日に公開した新モバイルOS「iOS 10」のiTunes経由のMacあるいはPCへのバックアップで採用されたパスワード照合アルゴリズムは「iOS 9」のものよりかなりクラックしやすいと、ロシアのセキュリティ企業Elcomsoftが9月23日(現地時間)に公式ブログで指摘した。

【 ブルートフォース攻撃が約2500倍簡単になった(Elcomsoft)

 ElcomsoftはパスワードのかかったiPhoneなどのスマートフォンのデータを取り出すツール「Phone Breaker」を開発している。このツールでテストしたところ、iOS 10のセキュリティチェックは、iOS 9のものよりおよそ2500倍弱いことが確認できたという。

 米セキュリティ企業のPeerlystによると、Appleはパスワード暗号化のアルゴリズムを、これまで採用していたハッシュ計算を1万回反復する「PBKDF2」から1回しか反復しない「SHA256」に変更し、これがブルートフォース攻撃を劇的に容易にするいう。

 Appleは米Forbesに対し、この問題について認識しており、今後のセキュリティアップデートで修正すると語った。「われわれはユーザーに対し、MacあるいはPCが強力なパスワードで保護されており、承認されたユーザーのみがアクセスできるようになっているかどうかを確認するよう勧める」としている。

 Appleが9月23日にリリースしたiOS 10.0.2ではこの問題はまだ修正されていない。

 なお、この問題はiTunes経由でMacあるいはPCにバックアップする方法にのみ影響するもので、iCloudへのバックアップには影響しない。iPhoneのバックアップ作成方法はAppleのサポートページを参照されたい。

最終更新:9/26(月) 8:19

ITmedia ニュース