AppleのAirDrop機能に「自身のユーザー情報が漏洩する」脆弱性が発見される

iPhoneなどのAirDropは近くの端末に画像やファイルを共有することができる機能です。友人同士が撮影した写真データを共有することが可能となり、コミュニケーションの手段として活用されることがよくあります。そんなAirDropですが、ドイツのダルムシュタット工科大学の研究で「近くの人に自分のユーザー情報が漏れてしまう」脆弱性があることが発見されました。

AirDropはiPhoneで使用されるiOS、iPad用のiPadOS、MacOSのOS間(デバイス間)で写真や動画などのファイルをワイヤレスで共有するために使用するAppleの独自技術で2011年に導入されました。日本のようにAppleデバイスが大きく普及している国では友人同士や家族などでファイルを簡単に共有できることから、手軽に使えるデータ送信手段として、広く使用されています。

ダルムシュタット工科大学で発見されたAirDropの脆弱性は「近隣にある端末を発見するときに『電話番号』や『メールアドレス』を交換する際に使用されるハッシュ関数を用いた処理に起因して、情報が漏洩する」とのことで、何らかのファイルを共有しようとしている人が被害を受ける可能性があるとしています。

しかし、影響範囲自体は小さく、必ずしもAppleデバイスを使用している全員が被害を受けるわけではありません。AirDropの受信設定で「全員」を使用している場合は危険ですが、それ以外の設定(「オフ」「連絡先のみ」)を使用している場合は「共有シート」を開いているときのみに影響するとされています。

研究者によると、AirDropでは電話番号やメールアドレスといった情報はSHA-256のハッシュ関数で暗号化されており、簡単に解読することは困難であるとのこと。しかし、相応の技術を持ったハッカーがWi-Fi 対応のデバイスを持って近くにいる場合は「暗号解読の処理」を行えてしまうことを研究者が指摘しています。

なお、ダルムシュタット工科大学が発見した脆弱性は2019年5月にAppleに対して、非公開で通知済みとのことです。しかし、Appleはこの問題を認めておらず、記事作成時点においても、脆弱性は修正されていません。

このため、研究者は「Appleが脆弱性の対応を完了するまではAirDrop機能を使用しないことを強く推奨します」と語っています。