iPhoneのAirDropで電話番号が漏れる？セキュリティ研究者が指摘

 
AirDropやパスワード共有といった、iPhoneなどのApple製品の機能を通じて、電話番号などの個人情報が漏れてしまうリスクがある、とセキュリティ研究者が指摘しています。

Bluetooth LEの通信内容から情報が漏れる？

iPhoneやMacなどのApple製品では、近くにいるユーザー間でファイルを簡単にやり取りできるAirDropや、Wi-Fiパスワード共有といった便利な機能が利用できます。
 
しかし、これらの機能に使われているBluetooth LEの通信内容から、電話番号やWi-Fi接続状態、OSのバージョン、バッテリー残量などの情報が漏れてしまう可能性を、セキュリティ企業Hexwayが実験動画とともに公開しました。

近くにあるiPhoneの情報が丸わかり

デモ用のソフトウェアをインストールし、無線通信の内容を読み取る装置を取り付けたラップトップパソコンを使って、近くにあるiPhoneやApple Watchの状態を読み取ったのが、以下の画像です。
 

 
各デバイスを識別できるMACアドレス、電源の状態、デバイスの種類、Wi-Fi通信状態、OSのバージョンが表示されています。この情報を得るのにかかった時間は、わずか1分〜2分程度だったそうです。

iOS13ベータでも修正されていない

この問題は、iOS10.3.1以降のバージョンで発見されており、開発者向けに公開されているiOS13のベータでも修正されていない、とのことです。
 
なお、iPhone6sより古いモデルではBluetooth LEによる通信が行われていないため、影響を受けないそうです。

暗号化された文字列の3桁だけで特定可能

AirDropやWi-Fiパスワード共有など、Appleデバイス間の通信が行われる際は、電話番号、メールアドレス、Apple IDと、ハッシュ関数による暗号化で生成された文字列の最初の3桁だけが通信相手の特定に使用されます。
 
Hexwayによると、電話番号などの情報は、この3桁があれば特定可能とのことで、デモ動画も公開されています。
 

 

専門家「究極の方法はAirDropなどをオフにすること」

ArsTechnicaは、職場のようにお互いを知っている場合は大した問題にはならないが、地下鉄、バー、商業施設などの公共の場所で自分の情報を知られるのは気味が悪い、とコメントしています。
 
プライバシーとセキュリティの研究者であるアシュカン・ソルタニ氏は「一般的に、自動で相手を見つける通信方法には、個人情報のやり取りが必要になります」と説明し、「万全を期するなら、原則的にAirDropなど自動で相手を見つける通信方法をオフにしておくことです」と語っています。
 
 
Source:Hexway, ArsTechnica
(hato)