3年前に売ったiMacに今もアクセスできた〜セキュリティリスクの可能性

 
Googleの社員がCraigslistで売却したiMacが、今も自分の「iPhoneを探す」アプリに登録されていることに気づきました。しかもそのiMacを売ったのはなんと3年も前の話です。

3年前に売ったiMacが「iPhoneを探す」に登場

Googleに勤務するブレンデン・ムリガンさんが、ある日「iPhoneを探す」アプリを開くと、「マイケルのiMac」という、見慣れないコンピューターが登録されていることに気づきました。
 
クリックしてみると、その自分のものではないiMacは、自宅から北へ約160キロ離れたところにある、と地図上に表示されています。
 
そこで3年ほど前に、CraigslistでiMacを売ったこと、これがそのiMacであることに気づきました。つまりこの3年の間ムリガンさんは、売った相手の所在地を正確に把握できた、ということになります。
 

買い手がiCloudにサインインしていない

ではなぜこのようなことが起きたのでしょうか。
 
ムリガンさんは売る前にiMacを完全にクリーンにし、OS Xを再インストールしました。しかしデータを消去する前に、iCloud/Macを探すからサインアウトするのを忘れていました。
 
そしてもうひとつ確実にわかっているのは、買い手がiCloudにサインインしていない、ということです。そのためiMacはムリガンさんのiCloudアカウントにひもづけられたままとなっていたのです。

売り手には特に問題はないが…

売り手であるムリガンさんには特に問題はありません。iMacがアカウントにひもづけられていても、買い手はムリガンさんのiCloudデータにはアクセスできないからです。
 
ただし買い手の協力がなければ、iCloudアカウントから切り離すこともできないのです。ほかのすべてのデバイスをiCloudからログアウトしてもダメです。
 
ムリガンさんができるのは、「サウンドを再生」「ロック」「Macを消去」です。
 

売り手は買い手のiMacをロックできる

しかしこの状況は、買い手にとっては甚大なセキュリティリスクとなります。売り手は買い手のiMacの所在地を常に把握できるだけではなく、クリックひとつで簡単に、買い手のiMacをロックし、すべてのデータを消去することができるのです。
 
ムリガンさんはこの問題を解決する唯一の手段を取りました。遠隔操作でiMacをロックし、メッセージの欄に自分の電話番号を入れたのです。
 
買い手のマイケルさんがすぐにテキストメッセージを送信してきたので、無事問題は解決しました。マイケルさんはようやく自分のiCloudアカウントにログインして「Macを探す」をオンにしたのです。
 
ムリガンさんは、最近のmacOSではこのような問題は起こらないかも知れない、と前置きした上で(彼がiMacを売ったのは3年前)、Macを売るあるいは譲る時にはデータを消去する前に「Macを探す」をオフにすること、また誰かから中古Macを購入または譲り受けたら、すぐにiCloudにサインインするよう、アドバイスしています。

 
 
Source:Medium via 9to5Mac
(lunatic)