2019年03月08日 08時00分 メモ

iPhoneの試作機はAppleから盗み出されて高値で裏取引されている



ハッカーたちがiPhoneのセキュリティを突破するために、Appleから流出したプロトタイプのiPhoneを入手していることをMotherboardが明らかにしました。



The Prototype iPhones That Hackers Use to Research Apple’s Most Sensitive Code - Motherboard

https://motherboard.vice.com/en_us/article/gyakgw/the-prototype-dev-fused-iphones-that-hackers-use-to-research-apple-zero-days



Hackers using stolen iPhone prototypes to probe security and develop iOS exploits

https://appleinsider.com/articles/19/03/06/hackers-using-stolen-iphone-prototypes-to-probe-security-and-develop-ios-exploits



裏取引されているiPhoneは工場や開発室から流出したiPhoneの試作機で、特殊なケーブルを使用して解析されることから「dev-fused(開発ケーブル付き)」と呼ばれています。通常、iOSはSecure Enclave Processor(SEP)によって暗号化されており、リバースエンジニアリングすることが不可能になっています。しかし、「dev-fused」ではSEPが無効化されており、製品として一般的な市場に出回っているiPhoneはおろかJailbreak(脱獄)版よりもはるかに簡単に内部を調べることが可能な上、どのようにセキュリティが動作するかを解析することもできるようになっています。このため、ハッカーのみならず世界中のセキュリティ企業や研究者がゼロデイ脆弱性を見つけるために「dev-fused」を手に入れようとしているとのこと。





「dev-fused」はAppleの開発局や深センにあるFoxconnの工場から盗み出されて二束三文で売り払われた後、Twitterなどを介して取引されます。価格は機種やセキュリティのレベルによってさまざまで、一例ではiPhone 6が1300ドル(約14万5000円)・iPhone 8 Plusが5000ドル(約56万円)・iPhone XRの価格は2万ドル(約223万円)とされています。



iOSのセキュリティ研究者であるヴィクトル・オレシュキン氏はMotherboardの取材に対して「正直に言うと、Appleのお粗末なサプライチェーン管理のおかげですよ」と語っています。