Appleデバイスの位置を第三者が確認できる抜け穴

　Appleの提供する端末を探す機能「Find My」の脆弱性に関する調査レポートが3日に公開された。リバースエンジニアリングを用いた調査で、Alexander Heinrich氏、Milan Stute氏、Tim Kornhuber氏、Matthias Hollick氏により、2つの脆弱性が指摘されている。

　1つめは、所有者の異なる2つの紛失機器に対して、1人のユーザーからほぼ同時刻に紛失位置の情報が報告された場合、紛失者2人が近い場所にいたことが推定できるというもの。

　BLEの通信範囲がかぎられていることを利用しており、ユーザー間が接近していたことが推測できる。位置情報レポートにアクセスするさいに、発見者側はデバイス固有の識別子を、紛失者はApple IDをそれぞれ提供する。Appleサーバー上でどのようにメタデータが保管されているかまでは不明なものの、Appleがこの情報を利用し、特定の2人以上のユーザーの位置を把握しうるとしている。

　2つめは、悪意あるアプリケーションを通じてターゲットのMac上から秘密鍵を読み取り、これを使ってターゲットの持つAppleデバイスの位置情報レポートをダウンロード・復号化できるというもの。

　Offline Finderの機能では過去7日間までの位置情報レポートの取得が可能で、追跡機能に必要なAdvertisement Keyは15分ごとに変わる。このAdvertisement KeyはMaster Beacon Keyから生成が可能だが、性能上の理由から過去7日分に相当する672個の鍵がAdvertisement Keyがキャッシュされていた。macOSの場合では、ローカルユーザー権限でアクセス可能な特定ディレクトリにキャッシュされており、ターゲットのMacに悪意あるアプリケーションを導入することで、リモートで不正に入手が可能だったという。

　なお、後者の問題については、2020年9月にmacOS向けに公開されたパッチにてすでに修正が実施されている(CVE-2020-9986)。iOSデバイスについては、同様のキャッシュファイルは存在するものの、サンドボックス機構によってサードパーティーアプリケーションからのアクセスが行なえないとしている。