2018年9月、iOS 12を搭載したiPhone XSに対して、パスコードを入力せずアクセスできるようになる脆弱性を発見したという報告があった(iPhone XS Passcode Bypass Hack Exposes Contacts, Photos | The first stop for security news | Threatpost)。
音声認識アシスタントの「Siri」と、アクセシビリティ機能のひとつである「VoiceOver」を利用するもの。iPhoneに物理的に触れられさえすれば、パスコード入力を回避して端末内データにアクセスできるようになるとしている。
しかしこの脆弱性を突くには、前提として、Siriが有効になっており、その上でVoiceOverを使用できるようになっている必要がある。なおかつiPhone X、iPhone XS/XS Max、iPhone XRの顔認証機能であるFace IDが無効になっていなければならず、さらに、解除には複雑な手順が必要だとされている。この脆弱性によって、多くのiPhoneが危機にさらされることは考えにくいといえるだろう。
スマートフォンを守るパスコードや顔認証などのセキュリティ機能は、OSがアップデートされるたびに世界中で破る方法が探されている。悪意を持った人間だけではなく、犯罪を未然に防ぐたびに、セキュリティベンダーがチェックしている場合もある。多くの個人情報が詰まったスマホにおいては、きわめて重要な機能なのだ。
逆に言えば、脆弱性が見つかれば、メーカーは即座にOSをアップデートして対応するもの。10月30日(現地時間)には、iOSの最新バージョン「iOS 12.1」の提供が開始されている。こういったアップデートは、こまめにチェックしたほうがよい。セキュリティソフトウェアをインストールするだけでなく、アプリとOSも定期的なアップデートを実施するのが肝心だ。あわせて、スマートフォンの紛失・盗難対策用の設定もしっかりしておきたい。
日頃使っているiPhoneでも、セキュリティに気をつけないと、思わぬところでサイバー犯罪の被害にあうかもしれない。過去の事例を理解しするためにも、今回はMcAfee Blogから「秘密の自撮り: iPhoneアプリはあなたが気づかない間に撮影可能」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
秘密の自撮り: iPhoneアプリはあなたが気づかない間に撮影可能:McAfee Blog
2017年は、「自撮り」がとても流行っています。iPhoneのカメラ切り替え設定を使い、時々、自分の写真を撮る人は多いと思います。しかし、勝手に撮影されているとしたら、何が起こるでしょうか。パパラッチやテレビののぞき見番組の話をしているのではありません。お使いのiPhoneのことです。iPhoneには、携帯電話のカメラにアクセスできるアプリが前面で実行している時に、密かにユーザーの写真や動画を撮らせる機能があることが判明しました。
ではそもそも、なぜこの事実が注目されるようになったのでしょうか。それは、Googleの開発者が、iPhoneの画面でカメラのファインダーが「開いて」いなくても、アプリがいつでもユーザーの写真や動画を撮影できることを証明した概念実証プロジェクトの詳細を自身のブログに投稿したのです。また特筆すべきは、これがバグではなく、意図的なふるまいと思われる点です。
では、実際にこの機能で何ができるのでしょうか。アプリにカメラへのアクセス権限を与えると、以下のふるまいが可能になります。
- アプリが前面で起動している時は、いつでもユーザーを録画できる
- ユーザーに断りなく写真や動画を撮る
- 撮影した写真/動画をその場でアップロードする
- リアルタイムで顔認証を実行し、顔の特徴や表情を検知する
明らかに、この機能は潜在力を秘めています。私たちの多くはカメラで撮影したコンテンツを見ている時やLEDが点滅している時にだけカメラが動作していると思っていますし、iPhoneにはカメラがオンであることをユーザーに示す機能はないのですから。
大事なことは、この機能について知っておくだけでなく、自分のプライバシーを守るための予防手段を講じることです。以下に、そのためのヒントをまとめます。
- カメラ カバーを使う。古典的な対策に聞こえるかもしれませんが、ユーザーが顔を見られてもいいタイミングを選べるわけですから、有効な対策です。インターネットでは、さまざまなカメラ カバーが販売されていますし、ポストイットだって構いません。
- カメラにアクセスできるアプリに注意する。アプリをダウンロードする際、カメラへのアクセスを求める通知が表示されます。必要でなければ、あるいは本当にアプリにカメラへアクセスさせたいのでなければ、アプリにアクセス権を与えないでください。すべてのアプリのカメラ アクセスを無効にすることも可能です。また、可能な限り、写真を選択する時は、必ずiPhoneに搭載のカメラ アプリを使うか、各アプリのイメージ ピッカーを使用してください。
- モバイル セキュリティ ソリューションを使う。この機能はバグではありませんが、この機能が悪人の手に渡った場合に備え、携帯電話に保存される個人データを確実に保護することが重要です。McAfee Mobile Securityなどのモバイル セキュリティ ソリューションで、お使いの携帯電話のセキュリティを強化してください。
また、最新のユーザーおよびモバイル セキュリティ脅威情報は、Twitterで私や@McAfee_Homeをフォローするか、Facebook「いいね」をすることでご確認いただけます。
※本ページの内容は2017年10月31日更新のMcAfee Blog の抄訳です
原文:Secret Selfies: iPhone Apps Can Take Pictures and Videos of You Without Your Knowledge
著者:Gary Davis
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
