パスワードを忘れた? アカウント作成
15357741 story
iOS

NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 79

ストーリー by headless
対策 部門より
Amnesty International の The Pegasus Project でイスラエル NSO Group のスパイウェア Pegasus が人権抑圧国家でジャーナリストを沈黙させ、活動家を監視して反対派をつぶすために使われていることが明らかにされたが、iOS がイメージほどセキュアでないことにも注目が集まっている(The Guardian の記事Ars Technica の記事9to5Mac の記事Recode の記事)。

The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。

Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。

しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。

Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。

なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。
  • by crass (35930) on 2021年07月23日 19時09分 (#4076572) 日記

    何故iOSが批判されるのか [wired.com]:

    A lot of criticism has centered on Apple in this regard, because the company has historically offered stronger security protections for its users than the fragmented Android ecosystem.

    “The truth is that we are holding Apple to a higher standard precisely because they're doing so much better,” says SentinelOne principal threat researcher Juan Andres Guerrero-Saade. “Android is a free-for-all. I don't think anyone expects the security of Android to improve to a point where all we have to worry about are targeted attacks with zero-day exploits.”

    In fact, the Amnesty International researchers say they actually had an easier time finding and investigating indicators of compromise on Apple devices targeted with Pegasus malware than on those running stock Android.

    多くの批判がAppleに集中するのは、Appleはこれまで断片化したAndroidのエコシステムよりも強力なセキュリティ保護をユーザーに提供してきたからです。

    SentinelOneの主席脅威研究員であるファン・アンドレス・ゲレロ・サーデは、「Appleが非常に優れたサービスを提供しているからこそ、私たちはAppleにより高い基準を課しているという事です」と述べている。「Androidはやりたい放題の状態です。Androidのセキュリティがゼロデイエクスプロイトを使った標的型攻撃だけを心配しなければならないほど向上するなどとは、誰も思っていません」。

    実際、アムネスティ・インターナショナルの研究者によると、Pegasusマルウェアの標的となったAppleの端末では、Androidを搭載した端末よりも簡単に侵害の兆候を見つけて調査することができたそうです。

    一種のノーガード戦法? [theguardian.com]:

    On Android devices, the relative openness of the platform seems to have allowed the company to successfully erase all its traces, meaning that we have very little idea which of the Android users who were targeted by Pegasus were successfully affected.

    Android端末では、比較的オープンなプラットフォームであることから、NSO Groupは痕跡を全て消すことに成功している。つまり、Pegasusの標的となったAndroidユーザーのうち、どのユーザーが被害に遭ったのか分かりようがないということだ。

    --
    しきい値 1: ふつう匿名は読まない
    匿名補正 -1
    ここに返信
    • by Anonymous Coward

      これ聞いて、次iPhoneがUSB Type-C載っけたら機種変する事にした。10年来の泥からもオサラバ

      • by Anonymous Coward

        そんなことより家に警備員つけたか?防弾ガラスは?まさかセーフティーハウスや国外脱出ルートの用意に手ぬかりはないよな?
        Pegasusみたいな話でリスクを考えなきゃならない立場の人なら、iPhoneに買い替えるよりそっちの方が被害のリスクを下げられるぞ。

        # 一般人が警戒すべきレイヤーを無視したセキュリティ評価に価値はない

        • by Anonymous Coward

          メーカー側が設定しているセキュリティーの敷居値が違っていて、iOSの方がandroidに比べて高いってだけでしょ。
          極論でそんなに気になるならといって否定する種類のものでは無い。
          androidはアプリ利用に対して各自ユーザーがセキュリティに対して注意しながら利用すべき端末だってだけ。

          そういうのが面倒な人はiOSの方が比較的堅固なので使い分けましょうってだけ。

          • by Anonymous Coward

            そういうのが面倒な人はiOSの方が比較的堅固なので使い分けましょうってだけ。

            一般ユーザーが感じるほどの差はないけどね。
            むしろ単一環境だから狙われやすい、まであるし。

            • by Anonymous Coward

              一般ユーザーに最も感じられる差はアップデートの提供期間だろうね

              • by Anonymous Coward

                そう、古いメジャーバージョンのサポートを即座に打ち切るのは本当に困る。
                互換性のない変更をバンバン入れてくるから、アプリ互換性の問題で更新ができないときに詰む。

            • by Anonymous Coward

              じゃあ変なアプリをホイホイ導入しなければ、基本的にAndroidは安全って事で良い?

              • by Anonymous Coward

                そうやって他人に聞かないと判断できない人はiOSの方が安全だと思うよ。

              • by Anonymous Coward

                そんなのスマホに限らずPCでも同じこと。
                クライアントOSはリモートから接続できる入り口がなくなったしFlash滅んでブラウザ経由の脆弱性も激減したし、
                マヌケな奴に踏ませない限りはなかなか攻撃成立しない。

                久々に出たユーザに落ち度がなくても食らうSSID攻撃にしても、フリーWi-Fiに自動接続なんて
                街中での通知がうざくて普通は無効化してるよな。

              • by Anonymous Coward

                これだから泥使いのイメージが悪くなるんだよな 陰キャというかナードというか

  • 知ってた (スコア:0, 参考になる)

    by Anonymous Coward on 2021年07月23日 16時39分 (#4076516)

    「macOS」でまたパスワード迂回の不具合
    macOS、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性
    「キーチェーン」の全パスワード盗まれる恐れ macOSの未解決の脆弱性
    macOSに新バグ発見。イメージキャプチャで写真を取込むとサイズ膨張
    macOSに深刻な問題、十分な空き容量がないMacをアップグレードしようとするとデータが失われる可能性
    macOS、ロック解除ボタン連打でrootログインできる致命的な脆弱性
    特定の文字列受信でAppleのOSをクラッシュさせるバグ、また見つかる
    最新Macに「誰でもログインできる」バグ
    アップル最新OSに重大バグ パスワードなしで管理者ログイン
    Apple史上最悪のセキュリティバグか、iOSとOS Xに危険すぎる脆弱性
    iPhoneなどの旧モデルに「修正不能」な脆弱性
    Apple、macOSでメールが解読されてしまう脆弱性
    macOS アップデート後に「大容量ファイル転送中にクラッシュ」等の報告相次ぐ
    MacBook、USB-Cハブとの接続で破損
    iOSのメール機能、受信するだけで悪意あるコードが実行される脆弱性
    iOS 13とmacOS Catalinaはなぜバグが多いのか。元アップルエンジニアが語る6つの理由
    macOS、修正した重大な脆弱性が「復活」するバグ
    iOS、macOSで“致命的バグ”連発
    またも、macOSにどんなパスワードでも通るバグ発見
    macOS、パスワード盗まれるゼロデイ脆弱性の指摘
    macOS暗号化メールの一部が平文保存されるバグ発見

    ここに返信
  • by Anonymous Coward on 2021年07月23日 17時22分 (#4076531)

    普通のハッカーが発見した脆弱性はネットで公開されるので修正されるが、
    本職が特定顧客向けに提供してるのは、Appleも情報が入手できず修正されにくい

    ここに返信
  • by Anonymous Coward on 2021年07月23日 17時32分 (#4076536)

    > iOS がイメージほどセキュアでないことにも注目が集まっている

    正直、iOSに限らず、Apple製品がセキュアだなんてイメージを持ったことがないんだが。
    クラッキング大会なんかで真っ先に攻略されるのも、Apple製品が多いイメージだし。

    ここに返信
    • by Anonymous Coward

      MacOSの時代にセキュアだと宣伝してたけど単に普及率が低かったからターゲットにされてなかっただけというオチだし
      普及してターゲットにされたら蓄積の無い分Windows等より危険な気がしますね

      • by Anonymous Coward

        これ以上Mac普及しないでほしいわ

        • by Anonymous Coward

          中途半端に普及した挙句、M1にSpectreやMeltdownみたいな脆弱性が、みたいな可能性も出てくるからなぁ、これからは。

        • by Anonymous Coward

          マイナーで安全路線がよければ、NetBSDでも使ったら?

      • by Anonymous Coward

        そもそも見向きもされない女が「私は身持ちが固い」て言ってたんですよ。
        なぁーにー!やっちまったなぁー!

      • by Anonymous Coward

        公式に言ってたっけ?
        MacくんとパソコンくんはOS Xの時代だったような

  • 最近聞かないけど、2016年辺りには流行ってたんだよね。
    BlackBerry DTEK50 [itmedia.co.jp]:「世界で最もセキュアなAndroidスマートフォン」
    Sirin Labs "Solarin" [wired.jp]:「「軍用並み」のセキュリティー」
    Silent Circle "Silent Phone" [silentcircle.com]:「完全なセキュリティ下でチームの遠隔コミュニケーションを実現します。」
     ※Smart Circleは、2014年に端末「Blackphone」を販売したが、以降はiOS・Android上に間借り。

    これぞという代物をご存じでしょうか?教えて欲しい。それが分かれば、記事の主張が完全になる。
    けど、黒電話とかトランシーバーとかザウルス・Parlm OS端末を挙げるのはなしよ。
    ”市販”で、”スマートフォン”で、”最近2-3年内”のモノを知りたい。

    ここに返信
    • by Anonymous Coward

      ある瞬間を切り取るなら兎も角、AndroidもiOSもアップデートは行われるし、その品質に依存するから「最もセキュア」なんて比較や命題そのものが無意味。

      国家レベルの権力・規模の組織から弾圧されるとか、ピンポイント狙いの標的型攻撃をされることへの対策なら、吊るしのスマホ単体でのOSの比較なんざ無意味で、サードパーティのセキュリティソリューションや運用方法の設計などもあわせて論じないと意味がない。

      まあ大多数の一般人にはそんな話は不用だが、言い換えればOSや機種ごとの仕様なんて誤差レベルで、結局は「『最もセキュア』なんてモノを求める程度のヤツが使えば、どんな機種もユーザーが脆弱性になるから、比較そのものが無意味」にしかならない。

      • by Anonymous Coward

        コメントの個々のワードだけピックアップして「最も~は無意味」と主張したと思うが、タレコミや、その原文を踏まえてのコメントとしてちゃんと読めば、親コメは次の2点を突っつくために「本当に最も~なのはどれ?」と皮肉を書いたと思うよ。
        (1) タレコミの主張にある「iOS が”イメージほど”セキュアでない」という”イメージ”(おそらく人権団体関係者のイメージ)が事実かどうか。
        (2) また、Appleが主張する「同社の OS は世界で最も安全なコンピューティングプラットフォームだ」というのが事実かどうか。

        つまり、親コメはあなたと意見を異にしてない

    • by Anonymous Coward

      GSMK CryptoPhone 600Gとかいうやつ、発売は2019年とかじゃないかな
      2003年からやってて、ソースコードも開示してるらしいのでANOMみたいなやつではないんじゃない
      たまーにニュースで見かけるけど自分は懐疑的でホントならクアルコムとかが買収しろよと思ってました

    • by Anonymous Coward

      往年のWindows 10 Mobileは安全だっただろ。
      2019年12月10日までは。

      • by Anonymous Coward

        おいおい、「安全だった」ってふかすにもほどがあるだろ。
        単にその当時に脆弱性が一般に知られていなかっただけで、安全だったかどうかは闇の中ってだけじゃん。
        それは、安全でなかったと言えないと同時に、安全だったとも言えない、ってことだ。

        この7月にもCVE-2021-34503とか見つかってるし、こいつ10 SでもRCE可能な脆弱性だぞ。

    • by Anonymous Coward

      コンピュータがどこにも使われてない黒電話なら、どんな凄腕のハッカーもハッキングできないでしょう

      • by Anonymous Coward

        残念ですが、フックの連打で電話をかけることができるという脆弱性があります。

      • by Anonymous Coward

        盗聴には脆弱やけどな

        • by Anonymous Coward

          早口の薩摩弁で話せばいい

          • by Anonymous Coward

            では津軽弁で対向しよう!

            (そして両者解読不能)

      • by Anonymous Coward

        https://iphone-mania.jp/news-325109/ [iphone-mania.jp]

        Apple共同創業者のスティーブ・ウォズニアック氏が組み立て、
        スティーブ・ジョブズ氏がマーケティングを行ったとされる、
        長距離電話ハッキング機器「Blue Box」が11月に競売にかけられます。

        • by Anonymous Coward

          Blue Boxは昔の交換機のバグを利用したものだから
          デジタル交換機になっている現代では既に対策済みだろ

          • by Anonymous Coward

            バグというよりは仕様と実装の差を突いた攻撃かと。

  • by Anonymous Coward on 2021年07月23日 18時46分 (#4076566)

    最もって相対的なものだから他のプラットフォームより少しでも優れていたらそう言える。
    実際優れているかどうかは知らないが。
    少なくともPegasusはAndroid版も存在しているよな。

    ここに返信
  • by Anonymous Coward on 2021年07月24日 9時45分 (#4076750)

    どうしたってプロセスはカーネルが管理する。どこにそんなセキュリティホールがありうるのか、このイスラエル NSO Group とかいうグループのマーケティングじゃないの? あったとしても、ずっと昔の話であって、最新の Android / iOS ではまったく通用しないだろう。

    ここに返信
    • by Anonymous Coward

      信じる必要は全くありませんが、iOS 14.6のゼロデイ脆弱性を利用したそうですよ。
      ずっと昔のことではなく、このコメントを書いた時点で、iOS 14.6はたった4日前まで最新バージョンだったし、14.7でカバーされたかは未だ情報が出ていません。

      でも、Peagsusは、2016年頃だったか、以前にも話題に上がったので、昔のことで「も」あるというのも事実です。

      信じる必要はないんですよ。
      そう、世の中は安心で安全で、あなたを脅かすものは何もないのです。あなたが信じない限り…。

      • by Anonymous Coward

        アップルとイスラエルのどっちを信じるか。考えるまでもないでしょう。

        • by Anonymous Coward

          どっちも信用ならないのですが

  • by Anonymous Coward on 2021年07月24日 9時49分 (#4076751)

    まるで映画に出てくる何でもハッキングできるソレっぽい機械だな。

    ここに返信
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...