😱マジかぁーと思いましたが、修正可能と聞いてちょっと安心。日本時間の2024年1月29日に
9TO5MACに出た、エイリン・ワイチュリスさんの記事です。
- 先週、Appleは盗難デバイス保護と呼ばれる、新しいセキュリティ機能を備えたiOS 17.3をリリースした
- これは泥棒があなたのiPhoneを盗んでパスワードを取得した場合に備えて、データを保護することを目的としているが、1つの致命的な欠陥がすでに発見されている
9to5Mac Security Biteは、唯一のApple Unified PlatformであるMosyleによって独占的に提供されます。Appleデバイスを動作可能にし、エンタープライズセーフにすることが、私たちが行うすべてです。
中略。
- 想定される攻撃は、通常加害者がデバイスを盗む前に(被害者が)パスコードを入力するのを観察し、Apple IDのパスワードを変更し、「iPhoneを探す」をオフにして、リモートで追跡やワイプを不可能にすることで行われる
- そして泥棒は、キーチェーンパスワードマネージャーに保存されたパスワードを使用して、アカウント(Venmo、CashApp、その他の銀行アプリなど)から被害者をロックアウトすることができる
- 幸いなことに、盗難デバイス保護は2つの重要な方法でこの脆弱性を阻止するのに役立つ
- 保護を有効にすると、ユーザーがApple IDのパスワードやデバイスのパスコードなどの重要なセキュリティ設定を変更する前に、Face IDまたはTouch ID認証(パスコードフォールバックなし)が必要になる
- また、ユーザーがこれらのセキュリティ設定を変更する前に、1時間のセキュリティ遅延を制定するので、泥棒が重要な変更を加える前に、被害者がiPhoneを紛失としてマークする時間的余裕を与える
盗難デバイス保護の致命的な欠陥
- ただし、ユーザーが重要な場所を有効にしていて、現在身近な場所にいる場合、これらの追加のセキュリティレイヤーは取得されない
- 「iPhoneがよく知っている場所にある場合、これらの追加手順は不要で、いつものようにデバイスのパスコードを使用できます」と、盗難デバイス保護のサポートドキュメントでAppleは述べている
- よく知っている場所とは、通常、自宅、職場などiPhoneを定期的に使用する特定の場所が含まれる
- Appleは、ユーザーが訪問する頻度と時期に基づいて、場所を重要と判断する
- よく知っている場所のデータは、通常、写真アプリのSiriの提案や思い出のようなものに使用されるが、盗まれたデバイスの保護にも使用される
- すなわち頻繁に行く特定のバーやカフェにいる場合、デバイス保護が無効になる可能性があるとTwitter(X)の投稿で人気のある技術YouTuber ThioJoeが指摘している
- 問題は、よく知っている場所をコントロールできないことだと、Thiojoeは書いている
- 一番最近いた場所は、先週末に数時間しか訪れなかった場所だった:ここはお馴染みの場所やよく知っている場所ではない
- 中略
- Appleが盗難デバイス保護のための身近な場所として、よく知っている場所をどのように決定するかは不明
- 幸いなことに、[設定]> [プライバシーとセキュリティ]> [位置情報サービス]> [システムサービス]> [重要な場所]に移動して、”よく知っている場所”をオフにすることが可能
- オフにすれば、Face IDまたはTouch IDは、盗難デバイス保護を解除するために暗黙的に必要になります。
- 特に、木曜日のiOS 17.4ベータ1リリースで、Appleはセキュリティ設定を変更する際に常にセキュリティ遅延を要求する機能を追加した
- これは、ユーザーがApple IDのパスワードやその他のセキュリティ設定を変更する前に、常に1時間待たなければならないことを意味する
- この機能は、現在ベータテスターでのみ利用可能で、デフォルトでは無効になっている
- この投稿を引き続きテストして、更新する予定
緑色で表示した部分は、少なくとも日本版iOS 17.3では存在しないようです。iOS 17.4ベータ1云々の部分は当然ですが・・・。17.4 Public Beta はまだ出ていないですね。
