MIT Technology Reviewが引用したセキュリティ専門家 によると、iOS 10の最初の開発者向けプレビュー版のカーネルは暗号化されておらず、誰でもコードを解析できる状態にあるという。これまでのiOSカーネルはすべてAppleによって暗号化されていた。

オペレーティングシステムの心臓部はカーネルと呼ばれるコンポーネントであり、プログラムがデバイスのハードウェアをどのように使用するかを制御し、セキュリティを強化します。AppleはこれまでiOSリリースでカーネルを暗号化し、その正確な動作を隠蔽することで、研究者が回避策や突破口を見つけざるを得ないようにしてきました。しかし、先週開発者向けにリリースされたiOS 10のプレビュー版では、最新のAppleデバイス向けにカーネルは難読化されていませんでした。

記事で指摘されているように、これはiOS 10のセキュリティを損なうものではなく、検査対象として公開することにはメリットとデメリットの両方がある。セキュリティ研究者たちは、この変更が意図的なものなのかミスなのか確信が持てない。

欠点としては、コードの弱点を探す人にとって作業がはるかに楽になることです。

セキュリティ研究者のマシュー・ソルニック氏によると、今回初めて公開されたセキュリティ対策には、カーネルの改ざんを防ぐためのセキュリティ対策が含まれているという。「公開されたことで、人々はそれを研究し、回避策を見つける可能性もある」と彼は言う[…]

iOSの内部構造に関する詳細な書籍の著者、ジョナサン・レビン氏は、「これによりリバースエンジニアリングの複雑さが大幅に軽減される」と述べ、社内の誰かが「とんでもないミスを犯した」のではないかと推測している。 

対照的に、iOS セキュリティ専門家のジョナサン・ジアルスキー氏は、これは偶然にしてはあまりにも明白なエラーであり、Apple は潜在的な脆弱性を特定するためにコアコードのセキュリティにさらに目を光らせたいと考えているかもしれないと述べている。

ジジアルスキー氏は、AppleとFBIの最近の対立を考えると、コード公開は理にかなっていると指摘する。当初、FBIはAppleにサンバーナーディーノのiPhoneへの侵入を依頼していたが、デバイスに侵入できる第三者を発見したため、その計画は断念された。これは、法執行機関にソフトウェアの脆弱性を販売する取引が拡大していることを示す新たな証拠だった。iOSを誰でも調査できるように公開すれば、特定のグループが脆弱性に関する知識を蓄積することが難しくなり、この市場が弱体化する可能性があるとジジアルスキー氏は指摘する。

必要となるであろうミスの規模を考えると、リリース前のレビューに関わったすべての関係者の目に留まらなかったとは考えにくく、Appleがベータ版を中止していないことは注目に値します。つまり、私たちは意図的なポリシー説をより重視しているということです。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。