iCloudの写真同期には大きな欠陥があるため、誰にも見られたくないヌードのセルフィーのハックも笑っちゃうぐらい簡単にできてしまう、しかも今回のセレブヌード大量流出でアップルが対策として推奨した2段階認証をONにしても侵入を食い止めることはできない。
…ということを、TUAWのMichael Rose記者が簡単な実験を行って実証しました。
アップルの2段階認証(2ステップ確認と呼んでいる)とは、普段と違う別の端末からiCloudのデータにアクセスする際には、携帯に4桁の認証コードを送ってもらってそれを入力しないとアクセスできなくするものです。
確かに新しいiOS端末を使う際にはこれも有効ですが、そうじゃない場合はあんまり役に立たないようですよ?
僕は未知のコンピュータに写真やブックマークが同期されると、当然iCloudの方からアラートが送られてくるものとばかり思っていた。そこで、Parallels 10を使ってMacにWindows 8仮想マシンをインストールして本当にそうか試してみることにした。
Windows用iCloudコントロールパネルをインストールし(原文にスクショあり)、自分のiCloud認証情報でログインし、「この新しい未知のPCとブクマと写真を同期する」という項目にチェックを入れた。するとものの数分以内に、僕のフォトストリームの写真が所定のフォルダーにダウンロードされ、ブックマークもWindowsのブラウザに現れたんだ。2FA(2段階認証)のアラートなんてひとつも出ない。iCloudのメールアカウントを見て、そこに「新しいコンピュータからあなたのアカウントにアクセスがありました」というアラートが届くのを待ったが...それもとうとうこなかった。
つまりiCloudのパスワードさえ推測できれば、クラウドの写真はどっかの誰かのPCに簡単に同期がとれる、アップルからはひと言も言ってこないので本人には盗まれたこともわからない、ということ。これでは2段階認証を有効にしても意味ありませんよ…。
因みにiCloudの2段階認証が効力を発揮するのは以下の作業をする時だけです。
- My Apple ID にサインインして Apple ID を管理する。
- 新しいデヴァイス上で iTunes Store、App Store、iBooks Store から何かを購入する。
- Apple ID 関連の問い合わせをする。
裏を返せば、それ以外のことは新しいデヴァイスから4桁コード入力しなくてもアップルとしては構わない、ということになります。もっと範囲を広げればiCloudアカウント侵入予防の有効な対策になるのに、なんでそれをやらないのか? 不思議。大企業でそれやってないのはアップルだけなので余計に問題です。例えばDropboxやOneDriveはPCにインストールすると、認証コード入力しない限りアカウントには入れません。そっちが当たり前なんですって。
「未知のiOSデヴァイスからクレジットカードに請求が発生するものに関しては認証が強制されるので、アップルがこれ(2段階認証)でユーザーの財布を全力で保護しようとしてるのは間違いない」とRose記者は書いてます。
でもプライバシー保護に関しては…むむむ。アップルもまだまだがんばりが足りないようです。
source: TUAW
Pranav Dixit - Gizmodo US[原文]
(satomi)