パスコード入力なしでiPhone内の写真や連絡先にアクセスする方法が発見される

by NeONBRAND

iPhone・iPad向けのモバイルOSであるiOSの最新版「iOS 12」で、パスコード入力なしに「パスコードでロックされた端末」にアクセスできるようになる脆弱性が発見されています。脆弱性を用いれば、アタッカーはターゲットとなるiPhoneに保存されてる写真や連絡先にアクセス可能です。

iPhone XS Passcode Bypass Hack Exposes Contacts, Photos | The first stop for security news | Threatpost
https://threatpost.com/iphone-xs-passcode-bypass-hack-exposes-contacts-photos/137790/

新しく発見された脆弱性は、パスコードでロックされたiPhoneに物理的に触ることが可能であれば、パスコード入力を回避して端末内データにアクセスできるようになるというものです。脆弱性を発見したのはスペイン人セキュリティ研究者のホセ・ロドリゲスさんで、自身のYouTubeアカウント上では実際にパスコード入力なしで端末内のデータにアクセスする様子を再現したムービーを公開しています。

方法は2通りありますが、どちらも音声認識アシスタントのSiriと、アクセシビリティ機能のひとつであるVoiceOverを用いています。方法としてはどちらもかなり複雑で、かつ、Siriが有効になっており、顔認証機能のFace IDが無効になっている、もしくはTrueDepthカメラがテープなどで覆われて機能しないようになっている必要があります。

以下のムービーではSiri×VoiceOver×電話機能で、端末へのパスコード入力を回避する方法が再現されています。16ステップで連絡先、37ステップで写真へのアクセスが可能となっており、かなり複雑な操作を経て端末内のデータにアクセス可能となることがわかります。

Passcode Bypass iOS 12 (1-Call) - YouTube


以下のムービーではSiriとVoiceOverを用い、メモアプリから端末内のデータにアクセスする方法を再現しています。

Passcode Bypass iOS 12 (2-Note) - YouTube


このムービーを確認したセキュリティ関連ニュースメディアのThreatpostによると、ロドリゲスさんが発見した脆弱性はAppleの最新デバイスである「iPhone XS/XS Max」を含む、あらゆる端末で再現可能であるとのことです。

iPhoneのパスコード入力を回避する方法はここ数年でかなり一般的になってきており、最新バージョンのiOSがリリースされるたびにセキュリティ研究者やハッカーが抜け穴を探しています。ロドリゲスさんはパスコードをバイパスするためにSiriとVoiceOverを使っていますが、iOS 10がリリースされた際にも同じようにSiriとVoiceOverを使用する方法が発見されていました。

なお、この方法で端末内のデータにアクセスされることを防ぐには、自分のiPhoneを誰にも触らせないというのがベストではあるものの、「設定」→「Face IDとパスコード」と進み、「ロック中にアクセスを許可」の中にある「Siri」を無効にすることも有効です。この設定によりロック中はSiriが使えなくなるため、パスコードをバイパスされる心配はなくなります。

なお、Threatpostはこの問題についてAppleにコメントを求めたそうですが、記事作成時点では返答を得られていないそうです。