NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 79
ストーリー by headless
対策 部門より
対策 部門より
Amnesty International の The Pegasus Project でイスラエル NSO Group のスパイウェア Pegasus が人権抑圧国家でジャーナリストを沈黙させ、活動家を監視して反対派をつぶすために使われていることが明らかにされたが、iOS がイメージほどセキュアでないことにも注目が集まっている(The Guardian の記事、 Ars Technica の記事、 9to5Mac の記事、 Recode の記事)。
The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。
Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。
しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。
Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。
なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。
The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。
Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。
しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。
Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。
なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。
知らぬが仏 (スコア:2, 荒らし)
何故iOSが批判されるのか [wired.com]:
A lot of criticism has centered on Apple in this regard, because the company has historically offered stronger security protections for its users than the fragmented Android ecosystem.
“The truth is that we are holding Apple to a higher standard precisely because they're doing so much better,” says SentinelOne principal threat researcher Juan Andres Guerrero-Saade. “Android is a free-for-all. I don't think anyone expects the security of Android to improve to a point where all we have to worry about are targeted attacks with zero-day exploits.”
In fact, the Amnesty International researchers say they actually had an easier time finding and investigating indicators of compromise on Apple devices targeted with Pegasus malware than on those running stock Android.
多くの批判がAppleに集中するのは、Appleはこれまで断片化したAndroidのエコシステムよりも強力なセキュリティ保護をユーザーに提供してきたからです。
SentinelOneの主席脅威研究員であるファン・アンドレス・ゲレロ・サーデは、「Appleが非常に優れたサービスを提供しているからこそ、私たちはAppleにより高い基準を課しているという事です」と述べている。「Androidはやりたい放題の状態です。Androidのセキュリティがゼロデイエクスプロイトを使った標的型攻撃だけを心配しなければならないほど向上するなどとは、誰も思っていません」。
実際、アムネスティ・インターナショナルの研究者によると、Pegasusマルウェアの標的となったAppleの端末では、Androidを搭載した端末よりも簡単に侵害の兆候を見つけて調査することができたそうです。
一種のノーガード戦法? [theguardian.com]:
On Android devices, the relative openness of the platform seems to have allowed the company to successfully erase all its traces, meaning that we have very little idea which of the Android users who were targeted by Pegasus were successfully affected.
Android端末では、比較的オープンなプラットフォームであることから、NSO Groupは痕跡を全て消すことに成功している。つまり、Pegasusの標的となったAndroidユーザーのうち、どのユーザーが被害に遭ったのか分かりようがないということだ。
しきい値 1: ふつう匿名は読まない
匿名補正 -1
Re: (スコア:0)
これ聞いて、次iPhoneがUSB Type-C載っけたら機種変する事にした。10年来の泥からもオサラバ
Re: (スコア:0)
そんなことより家に警備員つけたか?防弾ガラスは?まさかセーフティーハウスや国外脱出ルートの用意に手ぬかりはないよな?
Pegasusみたいな話でリスクを考えなきゃならない立場の人なら、iPhoneに買い替えるよりそっちの方が被害のリスクを下げられるぞ。
# 一般人が警戒すべきレイヤーを無視したセキュリティ評価に価値はない
Re: (スコア:0)
メーカー側が設定しているセキュリティーの敷居値が違っていて、iOSの方がandroidに比べて高いってだけでしょ。
極論でそんなに気になるならといって否定する種類のものでは無い。
androidはアプリ利用に対して各自ユーザーがセキュリティに対して注意しながら利用すべき端末だってだけ。
そういうのが面倒な人はiOSの方が比較的堅固なので使い分けましょうってだけ。
Re: (スコア:0)
そういうのが面倒な人はiOSの方が比較的堅固なので使い分けましょうってだけ。
一般ユーザーが感じるほどの差はないけどね。
むしろ単一環境だから狙われやすい、まであるし。
Re: (スコア:0)
一般ユーザーに最も感じられる差はアップデートの提供期間だろうね
Re: (スコア:0)
そう、古いメジャーバージョンのサポートを即座に打ち切るのは本当に困る。
互換性のない変更をバンバン入れてくるから、アプリ互換性の問題で更新ができないときに詰む。
Re: (スコア:0)
じゃあ変なアプリをホイホイ導入しなければ、基本的にAndroidは安全って事で良い?
Re: (スコア:0)
そうやって他人に聞かないと判断できない人はiOSの方が安全だと思うよ。
Re: (スコア:0)
そんなのスマホに限らずPCでも同じこと。
クライアントOSはリモートから接続できる入り口がなくなったしFlash滅んでブラウザ経由の脆弱性も激減したし、
マヌケな奴に踏ませない限りはなかなか攻撃成立しない。
久々に出たユーザに落ち度がなくても食らうSSID攻撃にしても、フリーWi-Fiに自動接続なんて
街中での通知がうざくて普通は無効化してるよな。
Re: (スコア:0)
これだから泥使いのイメージが悪くなるんだよな 陰キャというかナードというか
知ってた (スコア:0, 参考になる)
「macOS」でまたパスワード迂回の不具合
macOS、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性
「キーチェーン」の全パスワード盗まれる恐れ macOSの未解決の脆弱性
macOSに新バグ発見。イメージキャプチャで写真を取込むとサイズ膨張
macOSに深刻な問題、十分な空き容量がないMacをアップグレードしようとするとデータが失われる可能性
macOS、ロック解除ボタン連打でrootログインできる致命的な脆弱性
特定の文字列受信でAppleのOSをクラッシュさせるバグ、また見つかる
最新Macに「誰でもログインできる」バグ
アップル最新OSに重大バグ パスワードなしで管理者ログイン
Apple史上最悪のセキュリティバグか、iOSとOS Xに危険すぎる脆弱性
iPhoneなどの旧モデルに「修正不能」な脆弱性
Apple、macOSでメールが解読されてしまう脆弱性
macOS アップデート後に「大容量ファイル転送中にクラッシュ」等の報告相次ぐ
MacBook、USB-Cハブとの接続で破損
iOSのメール機能、受信するだけで悪意あるコードが実行される脆弱性
iOS 13とmacOS Catalinaはなぜバグが多いのか。元アップルエンジニアが語る6つの理由
macOS、修正した重大な脆弱性が「復活」するバグ
iOS、macOSで“致命的バグ”連発
またも、macOSにどんなパスワードでも通るバグ発見
macOS、パスワード盗まれるゼロデイ脆弱性の指摘
macOS暗号化メールの一部が平文保存されるバグ発見
Re: (スコア:0)
またまともに反論できないのでコピペコピペとしか言わないキチガイか
Re: (スコア:0)
コピペに何を反論すればいいの?
頭悪そう
Re: (スコア:0)
じゃあ無理に反論する意味ないだろ
Re: (スコア:0)
論理的な反論 → 信者必死だなw
/
【信者乙】 - 感情的な反論 → 信者発狂したw
\
無反応 → 反論できず信者涙目w
Re: (スコア:0)
肯定すれば解決では?
Re: (スコア:0)
信者イライラで草
Re: (スコア:0)
事実に反すると具体的に指摘するか、アンドロイドの方がもっと多いと問題点を並べるかだが、それが出来ないって事だな。
Re: (スコア:0)
事実の羅列をした人
それを誹謗中傷した人
ふむ...
一般に公開しない脆弱性は修正されにくい (スコア:0)
普通のハッカーが発見した脆弱性はネットで公開されるので修正されるが、
本職が特定顧客向けに提供してるのは、Appleも情報が入手できず修正されにくい
iOSがセキュア...だと? (スコア:0)
> iOS がイメージほどセキュアでないことにも注目が集まっている
正直、iOSに限らず、Apple製品がセキュアだなんてイメージを持ったことがないんだが。
クラッキング大会なんかで真っ先に攻略されるのも、Apple製品が多いイメージだし。
Re: (スコア:0)
MacOSの時代にセキュアだと宣伝してたけど単に普及率が低かったからターゲットにされてなかっただけというオチだし
普及してターゲットにされたら蓄積の無い分Windows等より危険な気がしますね
Re: (スコア:0)
これ以上Mac普及しないでほしいわ
Re: (スコア:0)
中途半端に普及した挙句、M1にSpectreやMeltdownみたいな脆弱性が、みたいな可能性も出てくるからなぁ、これからは。
Re: (スコア:0)
マイナーで安全路線がよければ、NetBSDでも使ったら?
Re: (スコア:0)
そもそも見向きもされない女が「私は身持ちが固い」て言ってたんですよ。
なぁーにー!やっちまったなぁー!
Re: (スコア:0)
公式に言ってたっけ?
MacくんとパソコンくんはOS Xの時代だったような
Re: (スコア:0)
本質的には呼び名しか変わってないだろ
新しい器に、古い器の腐った酒を入れれば新しい酒と言いだすのか?
Re:iOSがセキュア...だと? (スコア:1)
QuickTimeの息の長さは太政官布告みたいなもんか。
# QuickTimeはそのまま残ってきたわけじゃないけど
じゃあ最もセキュアな市販スマートフォンはどれなんだよ? (スコア:0)
最近聞かないけど、2016年辺りには流行ってたんだよね。
・BlackBerry DTEK50 [itmedia.co.jp]:「世界で最もセキュアなAndroidスマートフォン」
・Sirin Labs "Solarin" [wired.jp]:「「軍用並み」のセキュリティー」
・Silent Circle "Silent Phone" [silentcircle.com]:「完全なセキュリティ下でチームの遠隔コミュニケーションを実現します。」
※Smart Circleは、2014年に端末「Blackphone」を販売したが、以降はiOS・Android上に間借り。
これぞという代物をご存じでしょうか?教えて欲しい。それが分かれば、記事の主張が完全になる。
けど、黒電話とかトランシーバーとかザウルス・Parlm OS端末を挙げるのはなしよ。
”市販”で、”スマートフォン”で、”最近2-3年内”のモノを知りたい。
Re: (スコア:0)
ある瞬間を切り取るなら兎も角、AndroidもiOSもアップデートは行われるし、その品質に依存するから「最もセキュア」なんて比較や命題そのものが無意味。
国家レベルの権力・規模の組織から弾圧されるとか、ピンポイント狙いの標的型攻撃をされることへの対策なら、吊るしのスマホ単体でのOSの比較なんざ無意味で、サードパーティのセキュリティソリューションや運用方法の設計などもあわせて論じないと意味がない。
まあ大多数の一般人にはそんな話は不用だが、言い換えればOSや機種ごとの仕様なんて誤差レベルで、結局は「『最もセキュア』なんてモノを求める程度のヤツが使えば、どんな機種もユーザーが脆弱性になるから、比較そのものが無意味」にしかならない。
Re: (スコア:0)
コメントの個々のワードだけピックアップして「最も~は無意味」と主張したと思うが、タレコミや、その原文を踏まえてのコメントとしてちゃんと読めば、親コメは次の2点を突っつくために「本当に最も~なのはどれ?」と皮肉を書いたと思うよ。
(1) タレコミの主張にある「iOS が”イメージほど”セキュアでない」という”イメージ”(おそらく人権団体関係者のイメージ)が事実かどうか。
(2) また、Appleが主張する「同社の OS は世界で最も安全なコンピューティングプラットフォームだ」というのが事実かどうか。
つまり、親コメはあなたと意見を異にしてない
Re: (スコア:0)
GSMK CryptoPhone 600Gとかいうやつ、発売は2019年とかじゃないかな
2003年からやってて、ソースコードも開示してるらしいのでANOMみたいなやつではないんじゃない
たまーにニュースで見かけるけど自分は懐疑的でホントならクアルコムとかが買収しろよと思ってました
Re: (スコア:0)
往年のWindows 10 Mobileは安全だっただろ。
2019年12月10日までは。
Re: (スコア:0)
おいおい、「安全だった」ってふかすにもほどがあるだろ。
単にその当時に脆弱性が一般に知られていなかっただけで、安全だったかどうかは闇の中ってだけじゃん。
それは、安全でなかったと言えないと同時に、安全だったとも言えない、ってことだ。
この7月にもCVE-2021-34503とか見つかってるし、こいつ10 SでもRCE可能な脆弱性だぞ。
Re: (スコア:0)
コンピュータがどこにも使われてない黒電話なら、どんな凄腕のハッカーもハッキングできないでしょう
Re: (スコア:0)
残念ですが、フックの連打で電話をかけることができるという脆弱性があります。
Re: (スコア:0)
盗聴には脆弱やけどな
Re: (スコア:0)
早口の薩摩弁で話せばいい
Re: (スコア:0)
では津軽弁で対向しよう!
(そして両者解読不能)
Re: (スコア:0)
https://iphone-mania.jp/news-325109/ [iphone-mania.jp]
Apple共同創業者のスティーブ・ウォズニアック氏が組み立て、
スティーブ・ジョブズ氏がマーケティングを行ったとされる、
長距離電話ハッキング機器「Blue Box」が11月に競売にかけられます。
Re: (スコア:0)
Blue Boxは昔の交換機のバグを利用したものだから
デジタル交換機になっている現代では既に対策済みだろ
Re: (スコア:0)
バグというよりは仕様と実装の差を突いた攻撃かと。
最も≠完全無欠 (スコア:0)
最もって相対的なものだから他のプラットフォームより少しでも優れていたらそう言える。
実際優れているかどうかは知らないが。
少なくともPegasusはAndroid版も存在しているよな。
信じられん (スコア:0)
どうしたってプロセスはカーネルが管理する。どこにそんなセキュリティホールがありうるのか、このイスラエル NSO Group とかいうグループのマーケティングじゃないの? あったとしても、ずっと昔の話であって、最新の Android / iOS ではまったく通用しないだろう。
Re: (スコア:0)
信じる必要は全くありませんが、iOS 14.6のゼロデイ脆弱性を利用したそうですよ。
ずっと昔のことではなく、このコメントを書いた時点で、iOS 14.6はたった4日前まで最新バージョンだったし、14.7でカバーされたかは未だ情報が出ていません。
でも、Peagsusは、2016年頃だったか、以前にも話題に上がったので、昔のことで「も」あるというのも事実です。
信じる必要はないんですよ。
そう、世の中は安心で安全で、あなたを脅かすものは何もないのです。あなたが信じない限り…。
Re: (スコア:0)
アップルとイスラエルのどっちを信じるか。考えるまでもないでしょう。
Re: (スコア:0)
どっちも信用ならないのですが
フェイクニュースか都市伝説か (スコア:0)
まるで映画に出てくる何でもハッキングできるソレっぽい機械だな。