表題の記事が
AppleInsiderに出ているので、抜粋しました。ウィリアム・ギャラガーさんの記事です。
- ある研究者は、Bluetoothマジックキーボードに接続している場合、許可なくMac、iPad、またはiPhoneでタイプを入力する方法を見つけた
- キーボードをワイヤレスで接続できることはBluetoothの大きな恩恵であるが、Bluetoothは最も安全な技術ではなかった
- 今回研究者のマーク・ニューリンは、macOS、iOS、iPadOSユーザーに簡単に影響を与える新しい脆弱性を明らかにした
- ニューリンはしばらくの間、macOSとiOSの認証されていないBluetoothキーストロークの脆弱性を、調査し報告していたと言う
- この時点で彼はまだBluetoothはおそらく大丈夫だと思っていたが、Appleのセキュリティの蜃気楼は薄れ始めていた
- LinuxとAndroidで同様のキーストローク注入の脆弱性を見つけたとき、それは実装のバグではなく、プロトコルの欠陥のように見えたが、Bluetooth HID仕様の一部を読んだ後、その両方が原因だと発見した
- ニューリンは8月にAppleとGoogleの両方に脆弱性を報告したが、Appleはまだ対応していない
- ニューリンによると、脆弱性はBluetoothホストマシンを騙して、偽のキーボードとペアリングさせることによって機能する
- 根本的な認証されていないペアリングメカニズムはBluetooth仕様で定義されており、実装レベルのバグが攻撃者に公開される
- 攻撃実行に手間はそれほどかからず、必要なのはLinuxデバイスとハードウェア用のBluetoothアダプターだけだである
- これがすべて意味することは、ハッカーがMagic KeyboardとMacの間のBluetooth接続を偽造すると、キーストロークを好きなように入力できるということである
- ハッカーは明らかに、パスワードやTouch ID認証によるユーザー認証を必要とすることは何もできないが、それ以外の場合はアプリを起動したり、メッセージを読んだり、ファイルをダウンロードしたりできる
- これまでのところ、研究者が8月にAppleに脆弱性を報告したにもかかわらず、macOSやiOSには修正はなく、自分を守る最も簡単な方法は、Bluetoothをオフにすることである
Bluetoothは到達距離が短いですけど、喫茶店やショッピングモール、電車内などの第3者が周辺にいてBluetoothの範囲にいると怖いかも。勝手にメッセージに付記されたり、インターネットバンキングなどで不正情報を入力されたら、全然笑えないと思います。
