iPhoneやiPadに利用されるOS「iOS」に「バックドアが仕掛けられている」とセキュリティ専門家が主張している。この主張に対し、Apple側は政府との協力を否定するコメントを発表したものの、バックアップ暗号化を迂回する仕組みの存在理由について説明できていないと反論されている。

事の発端は、iOSセキュリティ専門家Jonathan Zdziarski氏が7月18日20日に米ニューヨークで開かれた「Hackers On Planet Earth(HOPE) X」で発表したiOSのセキュリティ/プライバシーに関する調査結果。Zdziarski氏は研究者でiOSアプリの安全性に関する著書などを持つ。なお、HOPE Xにはロシアに亡命中の元NSA職員、Edward Snowden氏もビデオで登場した。

Zdziarski氏はカンファレンスで公開した資料で、iOSの安全性に一定の評価を示しつつ、Appleはユーザーが知らないうちに機密情報にアクセスできるバックドアを組み込んでいると主張した。

具体的には"lockdownd""pcapd""mobile.file_relay"などのサービスが入っており、暗号化されたバックアップを迂回できるという。これらは企業向けの機能を目的としたものと見られるが、こうした"監視メカニズム"を利用して、USB、Wi-Fi、それにおそらくは3G/4G接続を利用してデータを取得できるとしている。

Zdziarski氏は「AppleがNSAなどの米国政府機関と協力していると考えているのではない」としながらも、「これらのサービスをNSAが利用したことは十分に考えられる」と主張して、Appleに説明を求めていた。

21日付けのブログで、Zdziarski氏はAppleの公式声明を紹介している。Appleはここで「ユーザーのプライバシーやセキュリティを侵害しないようにしつつ、企業のIT部門、開発者、Appleが技術的トラブルの解決にあたって必要な情報を提供できるようにiOSを設計した。他のコンピュータが限定的な診断データにアクセスするには、ユーザーがデバイスをロック解除してそのコンピュータを信頼することに同意する必要がある。情報を共有することに同意する必要があり、同意なしにデータが転送されることはない」「以前にも明らかにしたとおり、Appleはどの国の政府機関とも、われわれの製品やサービスにバックドアを仕掛けることを目的に協業したことはない」としている。

Jonathan Zdziarski氏の指摘に対するAppleの反論(Jonathan Zdziarski氏のブログより)

これに対し、Zdziarski氏は、診断データをAppleに送信する機能が有効か無効かに関係なく、バックアップ暗号化が迂回されて情報が送信されると指摘している。

そうしたことから、「Appleが真実を述べているとは信じがたい」とし、「lockdowndなどのサービスが純粋に診断だけの目的に組み込まれたとは思えない」と主張している。

そして、「これらのサービスがリークするデータはパーソナルなものであり、ユーザーへの通知機能はまったくない。本当の診断ツールなら、ユーザーを尊重するように開発し、アプリケーションのようにデータへのアクセスを通知し、バックアップ暗号化を尊重するはず」と反論、「迂回できるバックドアを用意しておきながら、どうやってユーザーに暗号化を信じろというのか」と結んでいる。

Jonathan Zdziarski氏のブログ