iOSとGalaxyのバックドア報道から感じたこと

https://pentest.com/ios_backdoors_attack_points_surveillance_mechanisms.pdf

今週はiOSのバックドア報道が駆け巡った1週間でした。

• 「iOSバックドア問題」に終止符か - Appleが”秘密のサービス”の詳細を公開 - ASCII.jp

１．iOSバックドア問題の簡単な顛末

今回、Jonathan Zdziarski氏が発表したのは、Appleが公表していないサービスの存在で、このサービスにより第3者がユーザーデータを参照可能になる、所謂”バックドア”になりうると指摘しました。
この発表の中で、「非公開サービスをNSAが利用しているかもしれない」というキャッチーな部分が初期報道では大きくクローズアップされました。

その後、Appleからこの公表していないサービスについてすぐに声明を出し、その後詳細な解説を出しました。
これにより、非公表サービスの存在は明るみになり、Appleによって信頼できる機能であることが示されました。

Zdziarski氏の主張と一部異なる点があるものの、現在バックドアとして機能していないことがAppleから示されました。この機能に脆弱性が存在すると”将来的なバックドア”になる可能性がありますが、それはまた別のお話。

２．過去にはSamsung Galaxyシリーズにも…

似たような話は、3月にGalaxyシリーズにもありました。

• 結局、Galaxyシリーズのバックドア問題はどうなったのか？

今回のケースと同じように、

1. バックドア問題の暴露
2. メーカーによる声明
3. （現在は）バックドアじゃなかった

という3ステップでお話は進んだんですが、個人的な心象では、SamsungよりもAppleの方がより信頼できると感じました。

３．SamsungとAppleの対応の違い

SamsungとAppleの決定的な対応の違いは、声明のみで終わったSamsungと、技術的な解説を詳細に示したAppleという点に尽きると思います。

Samsungは指摘された問題に対して声明を発表しただけで、その後の検証はユーザー側によって行われ、現在はバックドアとしては利用する手段がないという結論になりました。
一方Appleは、サービスの詳細を自ら解説し、秘密裏にユーザーデータを収集するサービスではないことを示しました。

Samsungの問題は、第3者側からの検証で悪用は出来ないだろうと結論付けられましたが、真相は闇の中です。
一方Appleは詳細な解説を自ら発表することで、疑惑を払拭し、クリーンな機能であると示してくれました。

４．Zdziarski氏の発表は人騒がせだったのか？

私はZdziarski氏の発表が無意味であったとは思いません。
ユーザーのデータを無断で送信しているかもしれない非公開の機能の存在を明るみにし、Appleから公式解説を引き出したことはとても意味のあることだと思います。

1つのソース・企業を盲信し疑わないという姿勢はとても危険です。
AppleやGoogleといった世界的な大企業であっても、第3者側が監視し、不明な点を指摘するのは大切なことです。プライベートな情報を取り扱う機器であればなおさらです。

５．ユーザーはニュースとどう向き合うべきか

実は、今回の初期報道はニュースのタイトルしか追っていませんでした。
”iOSの情報がNSAに”といったセンセーショナルなタイトルに、「ああ、やっぱりか」と感じずにはいられませんでした。
Appleからの声明も「まぁ、そう答えるよね」と位しか思っていなかったのですが、詳細な解説が公表されたのを見て考えが変わりました。

私自身反省したいことなのですが、初期報道はキャッチーな部分しか取り上げられません。
リスクが指摘された後、企業側がどう対応するか、そこまで見届けてから個人が判断することが大事だと思います。
自分が信頼するニュースソースも、PVが稼げるキャッチーな初期報道だけでなく、今回のASCIIのように事後検証まできっちり報道してくれるソースを選ぶことが大事だと思います。