Appleは先日、WWDC 2014でiOS 8を発表した。iOS 8で追加される様々な新機能について、Symantecがセキュリティ面からの考察をおこなっている。なお、iOS 8はまだリリースされていないため、実際にこれら機能がどのように実装されるか、またリリース後の攻撃の動向を確認するまでその効果を見極めることはできない点に留意する必要がある。
キーボードなどアプリ間の共有機能
まず注目は、サードパーティ製アプリ間で様々な連携ができるようになるアプリ拡張機能。多くのユーザーが待ち望む、サードパーティ製のキーボードアプリ対応なども実現する。
アプリ拡張機能では、サードパーティ製アプリ同士がiOSブローカープロセスを介し、相互にデータを送受信する。アプリのメモリ内ではなくシステムのフレームワーク内で短い時間だけ実行され、その後はメモリから消去されると考えられるという。 iOSのブローカープロセスは、これらの通信をチェックして悪質なものでないかを確認するとみられている。この機能を悪用し、他アプリのデータへのアクセスや、アプリ間のトラフィック傍受、キーロガー(キーボードからの入力を監視して記録する)の生成なども技術的には可能だが、そうした悪質な拡張機能もAppleの審査によってApp Storeへの侵入を阻止されるとの見解が示されている。
Touch IDの強化
また、iOS 8ではTouch ID(指紋認証)の機能も強化される。
指紋を用いて、iOSキーチェーンに安全に保存されているサードパーティ製アプリのパスワードにアクセスできるようになり、複雑かつ強固なパスワードでアプリへのログインがよりセキュアになると考えられている。 反面、指紋が登録されているユーザーは誰でもアプリを利用可能になることから、友人や家族など誰の指紋をデバイスに登録すべきか、あらためて再考する必要も生じてくるとした。
HealthKitやHomeKit
ヘルスケア関連アプリがデータ共有できるHealthKit、またiOSデバイスで家電やホームセキュリティシステムをコントロールできるHomeKit。この両プラットフォームも、iOS 8に組み込まれる期待の新機能だ。 ただし、職場に個人所有のデバイスを持ち込み業務に使用するような場合、ユーザーは管理者によって健康データにアクセスされたり、ホームセキュリティシステムを制御されたりしないように(特に自宅のドアを開けることができるケース等)気を配る必要があると指摘している。
その他:SiriやWi-Fi接続、AirDropなど
通知センターがウィジェットに開放されるとともに、タッチせずに音声でSiriにアクセス可能になった。これに伴い、ロックされたデバイスでもSiri経由でデバイス内の一部データにアクセスされてしまう可能性があるという。iPhoneを置き忘れた時に、デバイスに表示されるイベントなどの通知を他人に操作される、といった例が挙げられている。 また、Wi-Fiスポットに接続する際、特に指定しなくてもVPN(仮想プライベートネットワーク)を利用できるようになったり、Wi-Fiネットワークのスキャン時にMAC(メディアアクセス制御)アドレスをランダムに変更することで攻撃者の追跡を困難にするなど、この点でのセキュリティは大幅に向上するとしている。 AirDropによるファイル共有機能については、悪質なファイルを受け入れるように仕向けられてしまったり、文書を意図せずに不適切な人物と共有してしまったりする可能性が考えられると指摘した。 このほか、より詳しい内容については下記の公式ブログを参照されたい。
