Apple、盗み聞きが可能な FaceTime の不具合修正を急ぐ

最新情報: Apple が iOS 12.1.4macOS 10.14.3 の追加アップデート
を公開 [2019-02-07T23:25Z]

Apple は現在、FaceTime アプリの極めて危険な「盗聴」バグの修正を急いでいます。

同時に、Apple は悪用可能なプライバシーの脆弱性を放置するのではなく、サービスを停止させる判断を下し、Facetime のグループ通話機能を完全に停止しました。

このバグは有名な Mac ニュースサイト 9to5Mac で報告されました。また、悪用する方法も広まっています。

この問題を要約すると、次のようになります。

  • FaceTime を使用して、連絡先に登録されている人に電話をかけます。
  • 相手の携帯電話が鳴ります。
  • [参加者を追加] をタップして、自分自身を会話に追加します。

すでに会話に参加している自分自身を追加するのは、意味がないように思えます。

実際、誰もあえて試そうとしないほど無意味な行為だと思われていました。起こることといえば、自分、そしてまだ電話に応答していない相手が会話に追加されるだけです。

ところが、まだ応答していない相手の音声が聞こえてきてしまいます。

当然ですが、相手の携帯電話では着信音が鳴っている (あるいは振動する) ため、全く気付かれずに盗聴することはできないはずです。

しかし、相手が着信に気付かなかった場合や意図的に無視することにした場合、自分のデバイスが音声を拾って送信しているとは夢にも思わないでしょう。

さらに深刻な問題も起こり得ます。9to5Mac によると、携帯電話がロック画面になっている時に上記のような「グループ通話」を受信し、電源ボタンを押した場合、音声だけでなくビデオ映像も送信されます

つまり、あなたが電話した相手が電源ボタンを押して発信元を確認し、電話に出ないことにして [拒否] を選んだ場合、本来聞こえるはずのない会話を聞いてしまうことになります。

対策

このプライバシーの問題は、ユーザーが電話に出る前に FaceTime アプリが「応答」してしまうバグが原因です。

これは発信側がアクティベートしたアプリの機能によって引き起こされるバグであるため、着信側ではコントロールできません。

FaceTime インフラストラクチャに組み込まれているグループ通話機能を Apple が停止すれば、理論上このようなバグの悪用は阻止できます。

しかし実際は、Apple が FaceTime をアップデートし、ユーザーがパッチをダウンロードするまでの間、バグを悪用されないようにする唯一の方法はアプリを無効にすることです。

次の図のように、[設定] -> [FaceTime] から FaceTime をオフにしてください。


NAKED SECURITY のライブビデオ (英語) で詳しく解説しています

(動画が再生されない場合は、YouTube のサイトでご覧ください。)