セキュリティカンファレンスは多くの場合、注目すべきイベントです。本日、研究者らがWi-Fi セキュリティの脆弱性に関する研究を発表した RSA カンファレンスが終了します。 ArsTechnica の報告によると ( 9to5Mac経由)、影響を受けるデバイスの中には Apple 製のデバイスもいくつか含まれています。
同社は昨年 10 月、iOS 13.2、iPadOS 13.2、macOS 10.15.1 へのアップデートでこのバグを修正しました。
Wi-Fi通信における範囲限定エラー
Kr00K は、ワイヤレス デバイスがワイヤレス アクセス ポイントから切断されるときに発生する脆弱性を悪用します。ユーザーまたはアクセス ポイントのいずれかのデバイスが脆弱な場合、未送信のデータが送信バッファに格納され、無線で送信されます。
脆弱なデバイスは、通常の接続中に事前にネゴシエートされたセッション キーを使用してこのデータを暗号化する代わりに、すべてゼロのキーを使用します。これにより、復号化が役に立たなくなります。
ESETと呼ばれる研究チームは、このエラーを特定して公開する責任を負っています。この脆弱性は、後に 2016 年に Cypress Semi によって買収された部門であるBroadcom の FullMAC WLAN チップから発生します。したがって、この脆弱性は両社の製品に存在します。その中には、Amazon (Kindle)、Apple、Huawei、Xiaomi、Samsung、Google などのブランドが含まれます。
スマートフォンやリーダーのメーカーの場合、ほとんどのメーカーは、この問題を修正するソフトウェアを長い間提供してきました。ただし、Wi-Fi ルーターはほとんど更新されていないデバイスであるため、この脆弱性の最も弱い部分となります。したがって、常に最新のソフトウェア バージョンに更新しておくことをお勧めします。
いずれにせよ、現在行われている通信のほとんどは事前に暗号化されています。したがって、私たちは限られた範囲の脆弱性に直面しています。
Apple は 2019 年 10 月にこのバグをすでにパッチしています
AppleはArsへの返答で、この脆弱性は昨年10月に解決されたと述べた。具体的には、 macOS 10.15.1、 iOS 13.2、iPadOS 13.2のアップデートです。両方のドキュメントにアクセスすると、Wi-Fi セクションにこのエラーに対応するCVE-2019-15126が表示されます。
Apple の場合、影響を受けるデバイスは次のとおりです。
- iPadミニ2です。
- iPhone 6、6S、8、XR。
- 2018 MacBook Air。
ご覧のとおり、製品は 6 つだけですが、かなり幅広い期間のものです。 iPad mini 2は2013年に出荷が開始され、iPhone 6と6sは2014年と2015年に、iPhone 8と最新バージョンが入手可能になりました。
Apple は頻繁にアップデートを通じてソフトウェアのバグにパッチを当てますが、何が修正されたのかは示していません。通常、新しいソフトウェアがユーザー間で広まるまでには時間がかかり、その後エラーの性質が明らかになります。同様のケースはwatchOS 5.3.5 および 6.1.3アップデートでも見られますが、修正されたセキュリティ バグはApple のメモにまだ明記されていません。
このような場合はいつものように、できるだけ早くデバイスを更新することをお勧めします。セキュリティが心配な場合は、これが機器を保護する最善の方法です。