中国当局がユーザーを特定するために使用したとされるAirDropの脆弱性について実は2019年の早い段階でAppleに警告したとセキュリティ研究者が主張

中国の取締当局は、iPhoneやMac同士で画像や動画などのファイルをやりとりできる機能「AirDrop」の暗号化を突破して、利用者の個人情報を特定することに成功したと発表しました。この暗号化突破を可能にした脆弱(ぜいじゃく)性はすでに2019年に発見されており、Appleの怠慢が中国当局による解析を可能にしたと指摘されています。

Attack of the week: Airdrop tracing – A Few Thoughts on Cryptographic Engineering
https://blog.cryptographyengineering.com/2024/01/11/attack-of-the-week-airdrop-tracing/

Apple AirDrop leaks user data like a sieve. Chinese authorities say they’re scooping it up. | Ars Technica
https://arstechnica.com/security/2024/01/hackers-can-id-unique-apple-airdrop-users-chinese-authorities-claim-to-do-just-that/

AirDropは、近くにいるAppleデバイス同士が、インターネットに接続することなく、独自のワイヤレス接続によってファイルを共有することを可能にする機能です。この共有機能は香港の民主活動家たちによって利用されており、中国政府はこれに対抗してこの機能を取り締まったと報じられています。

中国当局がAirDropの暗号化を突破して通信者の特定に成功したと発表＆解析ツールのスクリーンショットも公開 - GIGAZINE

中国のインターネット検閲を監視する団体「Greatfire.org」のベンジャミン・イスマイル氏は「この状況に対するAppleの対応は極めて重要です。中国当局の発表に反論するか、あるいは肯定して直ちにこのような脆弱性に対するAirDropの安全性確保に取り組むべきです」と述べています。

中国当局による解析を可能にしたAirDropの脆弱性は、2019年にドイツのダルムシュタット工科大学の研究チームが発見していました。

本来、AirDropでは、Appleデバイス間でデバイス名やメールアドレス、電話番号などのデータを識別情報の一部として転送しています。通常、これらの情報はプライバシー保護のために暗号化されていますが、偽のデータを混ぜてからスクランブルするなどの工夫がされていなかったため、暗号が解読されてしまうと個人情報が明らかになってしまいます。

研究チームは、発見した内容についてAppleに報告したものの、Appleは脆弱性を修正するそぶりをみせなかったとのこと。そのため、2021年にもこの脆弱性に対する修正案を発表しましたが、実装された様子はなかったそうです。


セキュリティ研究者のケン・ホワイト氏は「私の読みでは、中国当局が公表した内容はほぼ間違いなく、2019年にドイツの研究者が発表したテクニックを使用していると思います。発見から4年以上経っても、この設計上の欠陥は解決されていないようです」とコメントしました。

オレゴン州の民主党上院議員であるロン・ワイデン氏は「Appleには、ユーザーのプライバシーと安全を危険にさらすようなAirDropのセキュリティホールを修正する時間を4年も与えられていました。しかし、Appleは手をこまねいて何もしませんでした」と述べ、Appleを批判しています。

ジョンズ・ホプキンス大学の暗号学者であるマシュー・グリーン氏は「もしAppleが、報告された2019年に今回のセキュリティホールを修正していれば、中国当局にとっても暗号解析は難しかったことでしょう。しかし、中国のセキュリティ機関がこの脆弱性を悪用している今、この問題はAppleにとって厳しい政治問題になります」と述べました。