まったく見知らぬ人からのメールが私たちのヒントボックスに届き、その中に 9to5Mac のスタッフ数名と Apple の高官数名の個人連絡先情報 (携帯電話番号を含む) が含まれていたときの私たちの驚きを想像してみてください。

昨夜、AppleはメンテナンスのためDeveloper Centerをオフラインにしましたが、いつものように復旧後も目立った変化はありませんでした。結局のところ、Appleは週末に発覚した深刻なセキュリティ侵害へのパッチを当てていたのです。この侵害により、登録済みのiOS、Mac、Safari開発者全員、Apple直営店および本社従業員全員、そして一部の主要パートナーの個人連絡先情報が誰でもアクセスできる状態になっていました。

この問題は開発者のJesse Järvi氏によって発見され、土曜日に当社に報告されました。エクスプロイトの動画は以下をご覧ください。この問題はAppleに報告され、社内で対応しました。問題の重大性から、この種の欠陥は、対応が完了しAppleに連絡するまで公表することはありませんでした。昨夜時点で、この脆弱性は修正されています。侵害がどのように実行されたか、そしてどのような情報が危険にさらされたのか、詳細は以下をご覧ください。

Järvi 氏は、Apple の Radar アプリケーション (バグ トラッカーを通じて提出されたバグ レポートを管理するために Apple 社員が使用する社内プログラム) のセキュリティホールを悪用して、無料の Safari 開発者プログラムに参加している開発者も含め、登録済みの Apple 開発者全員にアクセスした方法を説明した完全なビデオ ウォークスルーを提供してくれました。

この脆弱性を悪用するための最初のステップは、AppleのウェブサイトからRadarアプリケーションをダウンロードすることでした。このプログラムを使用するにはApple IDでのログインが必要で、そのIDはRadarアプリケーションにアクセスできる従業員のリストに登録されている必要があります。無効なログイン情報を入力するとプログラムからログアウトしますが、人物検索機能など、ソフトウェアに含まれる他のツールへのアクセスは遮断されません。

ディレクトリ検索を開いて、名前、電話番号、電子メール アドレスなどの情報を入力すると、アプリケーションは一致するリストをすぐに表示します。認証は必要ありません。

先ほどお伝えした通り、この問題はAppleによって修正されました。同社はこのバグについて公式声明を出していませんが、Järvi氏には解決済みであると確認しました。Appleは近日中にこの件に関する声明を発表する予定で、情報が入り次第、更新いたします。

更新： iMore によると、Apple は Radar アプリを以前の公開ダウンロード リンクから削除したとのことです。

[ユーチューブ https://www.youtube.com/watch?v=2e0Z5tQfhKM]

ティム・クックの詳細を編集してくれたDom Esposito（YouTubeチャンネル）に感謝します。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。