日本時間で2018年10月30日の深夜にリリースされたiOS 12.1に、パスコードを回避してアドレス帳の中身を全部見てしまえるFaceTime関連のバグが存在することが発見されました。発見したのはこれまでにもiOS関連のバグを多く発見してきた人物で、今回はリリースから1時間ほどで新たなバグが見つかったとのことです。
New iPhone Passcode Bypass Found Hours After Apple Releases iOS 12.1
https://thehackernews.com/2018/10/iphone-ios-passcode-bypass.html
バグを見つけたのは、セキュリティ研究者のスペイン人Jose Rodriguez氏。最大で32人が同時にビデオ通話できるFaceTimeのグループ通話機能「Group FaceTime」がiOS 12.1から実装されましたが、同じくして新たなバグが見つかった模様です。Rodriguez氏は実際にiOS 12.1にアップデートしたiPhoneを使ってバグを再現しています。
iOS 12.1 allows bypass the passcode to see all contacts private information. Feature? Flaw? - YouTube
ホームボタンを長押ししてSiriを起動。ボールペンを使っているのは、TouchIDでアンロックされるのを防ぐためだと思われます。
「ご用件は何でしょう?」の画面で、「『Test』に電話をかける」と話しかけると……
「どれですか?」とSiriが返してきたので、「Test」を選択。
するとSiriが「Test」に電話をかけました。
「Test」が電話を取ったら、すかさずFaceTimeを起動。
この時、Rodriguez氏は端末をフライトモードに切り替えました。
そして、画面右下のメニューアイコンをタップし……
「新しい連絡先を登録する」をタップ。
画面右上の「+」をタップすると……
既存のアドレス帳の一覧が表示されてしまいました。ここまで、一度も端末をアンロックしていない点に要注目。
そのまま、3D Touchを使って登録先の詳細を確認することもでき……
メールアドレスなども全て確認が可能。
検索機能など、どうやら全てのアドレス帳の機能を利用できる模様です。
どうやらこの問題を即座に回避する方法は存在しない模様。iOS 12.1にアップデートするのを待つか、すでにアップデートしてしまった人はAppleが対策バージョンをリリースするまで気をつけるしか方法はないようです。
◆2018/10/31 12:10追記
編集部にあったiPhone X(左)とiPhone XR(右)を使ってみたところ、記事どおりの動作を確認できました。新しい方のiPhone XRではなく1年落ちのiPhone Xを使ったのは、どうやらこのバグは「3D Touchをサポートする端末」でのみ再現するらしいという理由によるもの。実際に、3D Touchに対応しないiPhone XRでは、問題の動作は再現できませんでした。
外部リンクGIGAZINE(ギガジン)