2017年11月17日 06:00
米Appleは3日(現地時間)、10月に公開されたWi-Fiの脆弱性「Key Reinstallation Attacks (KRACK)」のiOSでの対応について、同社サポートページを更新した。
KRACKは、Wi-Fi通信の暗号化に使われるWPA2プロトコルの脆弱性により、暗号化通信の内容を傍受できるという問題。既報のとおり、iOS 11.1にてCVE-2017-13080の問題は修正されたが、その対象はiPhone 7/iPad Pro 9.7インチ(early 2016)以降とされていた。3日のアップデートで、新たにCVE-2017-13077、CVE-2017-13078に関する詳細が明らかとなった。
KRACKに関連する脆弱性のうち、CVE-2017-13077、CVE-2017-13078(4-wayハンドシェイク時のペア暗号鍵/グループ鍵の再インストール)は、iPhone 8/iPhone XのiOS 11.1で問題が修正され、iPhone 5s~7/iPhone SE/iPad Air以降/第6世代iPod Touchについては、そもそもCVE-2017-13077、CVE-2017-13078の脆弱性の影響を受けないとしている。
同様に、tvOS 11.1でApple TV 4KのCVE-2017-13077/13078脆弱性が修正されているが、Apple TV(第4世代)はこの問題の影響を受けないとしている。
ただし、CVE-2017-13080(グループ鍵ハンドシェイク時のグループ鍵再インストール)に関しては、iPhone 7以降で修正が入っているが、影響を受ける/受けない機種の記載がないため、iPhone 6s以前の状況に関しては状況が不明なままとなっている。
ちなみにKRACKの脆弱性は、WPAの仕様どおり忠実に実装した場合に発生するため、独自の方法で実装したり、仕様に沿わないかたちで実装した場合影響を受けない。この件についてPC WatchはAppleに確認をしてみたが、16日現在公式のコメントが得られていない。しかし、iPhone 6s以前でCVE-2017-13080の影響を受ける可能性は低いと言えるだろう。