Appleが流出したiBootソースコードは本物と認めGitHubに削除依頼、ただし最新iOSは安全と表明


iOSの起動コンポーネント「iBoot」のものと思われるソースコードがGitHubに流出した問題で、Appleはソースコードが本物であることを認めました。Appleによると、アップデートされた端末のセキュリティに問題はなく安全だとのこと。

Apple calls leaked iPhone source code outdated - CNET
https://www.cnet.com/news/apple-calls-leaked-iphone-source-code-outdated/

Apple Confirms iPhone Source Code Leak is Real, But Says its Security Doesn't Depend on Secrecy - Mac Rumors
https://www.macrumors.com/2018/02/08/apple-iphone-source-code-leak-real/

iOS 9に利用されていたことが分かっているiBootのソースコードが流出した事件は、以下の記事を見ればよくわかります。

iOSのコアとなるソースコードの一部「iBoot」がネットに流出、「史上最大のリーク」との指摘も - GIGAZINE


このソースコード流出についてAppleは、ソースコードが本物であることを正式に認めました。なお、すでにGitHubにはソースコードの削除依頼を行い、記事作成時点ではソースコードは公開されていません。

iOS端末の起動時に認証を行うiBootのソースコード流出によって脆弱性を探られる恐れがあるためセキュリティリスクになっているとして、今回の流出について一部メディアに「史上最大のリーク劇」と報じられたことから、Appleは正式に反論を表明しています。CNETに対してAppleは、「3年前の『古い』ソースコードが流出していることが明らかになりました。しかし、Apple製品のセキュリティ設計上、セキュリティの安全性はiBootソースコードだけに依存するものではありません。ハードウェア・ソフトウェアのそれぞれに多くのレイヤーがあり、さらに絶えず最新ソフトをリリースしユーザーにアップデートを促すことで、最新の保護がもたらされています」と述べ、最新のiOSの安全性は、今回のソースコード流出によって影響を受けないことを明らかにしています。

今回流出したソースコードはiBootの一部であり、2015年9月にリリースされたiOS 9で使われていたもの。iOS 10以降のバージョンのiOSを利用する端末が全体の93%を占めることから、多くの端末にとってセキュリティ面での危険はありません。ただし、アクティブ端末が10億台のiOS端末では、最大7000万台の端末がiBootソースコード流出の影響を受ける可能性があることから、識者の多くは「どんなユーザーであっても最新版のアップデートを適用するのが望ましい」と述べています。

・関連記事
Googleの脆弱性発見チームProject ZeroがiOS 11の脱獄を可能にする脆弱性攻撃「tfp0」を公開 - GIGAZINE

iOSアプリ50個のうち1個の割合でデータを流出させる問題があることが報告される - GIGAZINE

iOS・OS Xに危険なゼロデイ脆弱性、OSを最新版にアップデートで回避可能 - GIGAZINE

「iPhone 7」を19歳のハッカーが速攻で脱獄(ジェイルブレイク) - GIGAZINE

iOS 9はiPhone 4sを含む古いデバイスにも最適化され、脱獄不能になる可能性もアリ - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by logv_to