Appleは最近、iOSで発見された最悪のセキュリティバグの1つを修正しました。これにより、FaceTimeの発信者は、通話に応答する前に、人々の発言を聞くことができました。 それで、何がうまくいかなかったのでしょうか?また、同様の災害を防ぐことができますか?
Appleは、オペレーティングシステムとアプリのソースコードを公開しません。 会社のエンジニア、開発者、および品質保証スタッフのみが、アプリケーションのエラーをテストおよび修正します。 また、Appleは従業員に対し、製品に関する厳格な秘密保持契約書への署名を求めています。 このウォールドガーデンアプローチは、Appleが安全な製品を提供することを信頼する必要があることを意味します。
そうは言っても、Appleには最も堅牢なソフトウェア開発プロセスの1つがあります。 その評判は、安全で信頼性の高いアプリケーションと製品を提供してきた40年以上に支えられています。 しかし、たまに、セキュリティを確保するための機密性に依存する、あいまいさによるセキュリティの失敗が家に当たります。 FaceTimeのバグは一例です。
FaceTimeのバグは、発見して悪用するためにリソースと専門知識を必要とする複雑なセキュリティバグと比較して、ささいなものでした。 実際、フォートナイトを友達と遊んでいた14歳の人によって発見されました。
しかし、それは疑問を提起します:Appleの誠実さを持つ会社が、その最もよく使われるアプリケーションの1つでそのような明らかな欠陥を見逃すことができるでしょうか? それは意図的に復wantedを望んでいる不満を抱いた従業員によって引き起こされたのでしょうか? それは政府によって埋め込まれたバックドアでしたか? それは、最も信頼できる会社でさえ防御をすり抜けることができたのは、100万分の1の正直な間違いでしたか?
その質問に単独で答えることは難しい。 Appleが提供するあらゆる情報に依存する必要があります。 そしてこれまでのところ、AppleはiOS 12.1.4の欠陥を修正し、最初に不具合を報告したArizonaのティーンエイジャーに報いることを除いて、あまり語っていません。
また、このエクスプロイトがいつ始まったかはおそらくわからないでしょう。 報告によると、バグはiOS 12.1以降を実行しているすべてのデバイスに適用されました。 2018年10月30日にリリースされたiOS 12.1では、盗聴バグを含む機能であるGroup FaceTimeが追加されました。 しかし、数億台のデバイスで実行されているオープンで発生したバグが数か月間発見されないままであると想像することは困難です。 アップルの開発チームがFaceTimeのサーバー側ソフトウェアを更新したため、バグが最近導入された可能性があります。 繰り返しますが、Appleからの指示がない限り、わかりません。
対照的に、多くの組織にはオープンソースポリシーがあり、GitHubなどのプラットフォームでアプリケーションの完全なソースコードをリリースし、誰でもレビューできるようにします。 独立した専門家と開発者は、アプリケーションのセキュリティを検証できます。
この慣行は過去数年でますます人気が高まっており、歴史的にタイトな参加者を引き付けています。
- iOS 12.1がiPhoneのスムーズスキンセルフィーの問題を修正iOS 12.1がiPhoneのスムーズスキンセルフィーの問題を修正
- ビデオチャットの準備はできましたか? FaceTime Ready to Video Chatをグループ化する方法は? FaceTimeをグループ化する方法
- Appleの最新iOSアップデートが怖いFaceTimeバグを修正Appleの最新iOSアップデートが怖いFaceTimeバグを修正
透明性の優れた例は、安全なメッセージングアプリSignalです。 Signalを開発している会社であるOpen Whisper Systemsは、GitHubでアプリケーションのすべてのバージョンのソースコードを公開しています。 アプリのソースコード、その貢献者、およびアプリに加えられた変更のすべての履歴は、すべてのユーザーに表示されます。 Signalのソースコードは何百人もの専門家によってレビューされており、Bruce Schneier、Edward Snowden、Matt Greenなどの業界リーダーの承認を得ています。
これは、オープンソースアプリケーションにセキュリティ上の欠陥がないことを意味しますか? それからはほど遠い。 数十万行のコードを持つアプリケーションは複雑な作成であり、コードを何人の目でレビューしても、セキュリティで保護するのは困難です。
実際、Signalは、ハッカーがあなたのチャットをプレーンテキストで盗むことを可能にするものを含む、それ自体のいくつかの厄介なバグを解き放ちました。 しかし、FaceTimeなどのクローズドソースアプリとは対照的に、Signalなどのアプリのソースと欠陥の理由、およびそれらがいつ発生したか、どのコード変更または新しい機能が原因かを簡単に追跡できます。 しかし、FaceTimeバグの場合、推測する必要があります。
透明性は信頼を確立します。 あいまいさはそれを破壊します。
