iCloudで同期されるキーチェーンの脆弱性により、クレジットカード情報などが流出する危険性!

AppleのiCloud キーチェーンは、Safari で利用したWebサイトのユーザID、パスワード、クレジットカード情報、Wi-Fi ネットワーク情報などを同じApple IDで管理されるiPhone、iPad、Mac間でクラウドサービスのiCloudを通じて同期させることができるサービスです。

それによって、各デバイスでパスワードを再入力する必要がなくなります。

ロングターム・セキュリティ(Longterm Security)の共同設立者であるAlex Radocea氏が、iCloud キーチェーンのエンドツーエンドの暗号化システムでデバイスキーの検証にバグがあると水曜日にラスベガスで開催されたブラックハット会議で明らかにしました。

同氏はiCloud キーチェーンのトラフィックを傍受し、パケットを修正することにより、無効な署名(invalid signature)を取得しました。それによりiCloud キーチェーンをプレーンテキストで読み取ることができたと述べています。

同氏はAppleが二要素認証のアカウント保護が強化されているため、iCloud キーチェーンの通信という中間部分に注目したと述べています。

現在の状態では、法執行機関からの傍受命令があれば、Appleの社員はキーチェーンを読み取ることができるとのことです。

iCloud キーチェーンの脆弱性が明らかになったことにより、Appleはこの脆弱性について近い将来のiOSやmacOSのアップデートで修正すると考えられます。

(via ZDNet