iPhoneロック解除ツールがeBayで100ドル〜で販売

 
米連邦捜査局（FBI）などの米国および世界各国の捜査機関が、iPhoneやAndroidのロック解除・データ抽出に使用していることで知られるツールが、米国のオークションサイトeBayで、100ドル〜1,000ドル程度で売買されています。米メディアForbesが報じています。

Cellebriteツールが100ドル〜1,000ドルで取引

日本企業サン電子の子会社で、イスラエル企業のCellebriteが開発・提供する、ロックのかかったiPhoneやAndroidスマートフォンからデータ抽出するためのツールは、正規に購入すれば6,000ドル(約67万円)以上する高額な製品です。
 
ところがeBayでは中古とはいえ、Cellebriteツールが100ドル(約1万1,000円)〜1,000ドル(約11万円)の価格で取引されていました。
 
この事態を重く見たCellebriteは購入客に対し、同ツールの再販は個人データの漏洩につながると警告する文書を送付しています。Cellebriteは文書中で、使わなくなったツールは完全に破壊するか、もしくは同社に返却するよう求めています。
 

Cellebrite UFED classic exploits & functions – I got this gem at an auction – has SIM card cloning features (elite) pic.twitter.com/xmLCgVO7iG

— Hacker Fantastic (@hackerfantastic) February 11, 2019

中古のツールからさまざまなデータを入手可能

サイバーセキュリティ研究者で、Hacker House創業者のマシュー・ヒッキー氏は2月初めに、12台の中古のCellebriteのUFEDツールを購入。中身を調べたところ、同ツールを使って調査したデバイス、調査したデータ、削除したデータ、またIMEI番号(携帯電話の製造番号)を入手することができました。
 
同氏は、調査対象となったデバイスのアドレス帳など、もっと個人的な情報も抜き出すことができると考えていますが「犯罪現場の写真などが出てきたら恐ろしいのでこれ以上は探さない」と述べています。

 
またヒッキー氏は、UFEDツールにはCellebriteがAppleやGoogleに報告していない、iOSおよびAndroidの脆弱性に関する情報が含まれているかも知れないと指摘しています。
 
Cellebriteは昨年2月の時点で販売されているすべてのiPhoneをロック解除できるとしていました。

Cellebriteツールのセキュリティはゆるい

このような重要データを含むロック解除ツールが、なぜオークションサイトに登場したのでしょうか。考えられるのは、新機種が出たために古い機種を売りに出したという理由です。ヒッキー氏は、売る前にデータを完全に消したつもりが消えていなかった、同ツールの利用にはCellebriteからのライセンス購入が必要ですが、契約期間が切れて更新しないままツールを手放したなどの理由を挙げています。
 
しかしヒッキー氏は、Cellebriteツールそのもののセキュリティは非常にゆるく、管理者アカウントのパスワードは簡単に見つかったと報告しています。ライセンスの更新も簡単で、そのやり方を説明しているフォーラムが存在するそうです。腕のいいハッカーなら同ツールで一度調査されたiPhoneに簡単に侵入できるばかりか、科学捜査プロセスを逆転させて、Cellebriteの技術をハッキングするスマートフォンも作り出せるだろうと、ヒッキー氏は警告しています。

 
 
Source:Forbes via 9to5Mac
(lunatic)