iOS 16の新機能の一つにロックダウンモードがあります。これは、複数のデバイス機能を無効化することで、標的型サイバー攻撃からユーザーを守るためのものです。ロックダウンモードの大きな変更点の一つに、ウェブブラウジングの制限があります。ソフトウェアエンジニアのアレクシス・ルース氏が、その仕組みを詳しく説明します。

Lours氏は個人ブログで、ロックダウンモードがオンになっているときにどのウェブ機能が無効になっているかを調べるために複数のテストを実行した方法を公開しました。Webブラウザで利用可能な機能を検出するJavaScriptライブラリであるModernizrのおかげで、同氏はユーザーをスパイするために使用できる可能性のあるWebKit機能のリストを入手しました。

ロックダウンモードがウェブ閲覧に与える影響

エンジニアが最初に気づいたのは、ロックダウンモードによって、実行中にコードをオンザフライでコンパイルするジャストインタイムJavaScriptコンパイル（JIT）が無効になることです。ベンチマークテストによると、JITが有効になっていない場合、Webブラウジングのパフォーマンスは最大95%低下します。その結果、読み込み時間が長くなり、バッテリー消費もさらに増加し​​ます。

iOS 16のロックダウンモードはWebAssemblyも無効にします。WASMは、ウェブページ上で高パフォーマンスなアプリを実現する強力なバイナリコード形式です。しかし、WASMはユーザーのデジタル「指紋」を作成するためにも利用され、第三者がウェブサイトやアプリ間でユーザーを追跡するのを手助けします。

興味深いことに、ロックダウンモードではウェブページ上のMP3プレーヤーのサポートも無効になっています。Lours氏は、Appleは攻撃者がMP3デコードを悪意のある目的で利用することを阻止したいと考えていると考えています。もちろん、これにより、AACやOGG形式へのフォールバックがないと、MP3再生機能を備えたウェブサイトはすべて機能しなくなります。

ウェブサイト上でユーザーがゲームコントローラーを操作できるようにするために作成されたGamepad APIは、ロックダウンモードを有効にすると動作しません。これは、悪意のあるウェブサイトがコントローラーIDなどの詳細情報を使用してユーザーを追跡できるためです。当然のことながら、これは外部ゲームコントローラーに依存するウェブゲームやプラットフォームの機能不全につながります。

ロックダウンモードでは、ウェブブラウザでのファイルのプレビューも制限されます。例えば、SafariでのみサポートされているJPEG 2000画像とSVGフォントは無効化されるため、ウェブサイトはこれらの形式を利用してiOSユーザーをターゲットにすることはできません。また、過去に複数のPDF関連の脆弱性が発見されているため、ウェブサイトでのPDFプレビューも無効化されています。

無効になっているその他の機能には、WebGL、音声認識 API、Web Audio API などがあります。

ロックダウンモードでは他に何が制限されますか?

iOS 16のロックダウンモードでは、ウェブ閲覧の制限に加えて、Appleのメッセージアプリでほとんどのメッセージ添付ファイルとリンクのプレビューもブロックされます。ロックダウンモードが有効になっているユーザーは、既知の番号からのFaceTime通話のみ受信でき、iCloud共有アルバムは写真アプリから削除されます。

Apple は、ロックダウン モードをオンにすると、構成プロファイルと有線接続経由のデバイスへのアクセスもブロックします。

もちろん、Appleはロックダウンモードが、高度なスパイ活動の脅威の標的となる可能性のある特定のユーザーグループを対象としていることを強調しています。これらのユーザーには、ジャーナリスト、活動家、政府関係者などが含まれます。これは、同社が昨年秋に「ペガサス」スパイウェアの作成者であるNSOグループを提訴した後のことです。

ロックダウンモードは、今秋リリース予定のiOS 16で利用可能です。Apple Beta Software Programに登録されている開発者およびユーザーは、iOS 16ベータ版をお試しいただけます。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。