Appleが、AndroidからiMessageを利用することができるアプリ「Beeper Mini」の機能を停止する措置をとったことが明らかとなりました(MacRumors)。
Appleはユーザーのプライバシーやセキュリティの重要性を協調し、メタデータの露出やスパム・フィッシング攻撃のリスク増加など、Beeper Miniが持つ潜在的なリスクからこの措置が必要となったと説明しています。
The Vergeなどニュースサイトに提供されたAppleの声明全文は以下の通りです。
At Apple, we build our products and services with industry-leading privacy and security technologies designed to give users control of their data and keep personal information safe. We took steps to protect our users by blocking techniques that exploit fake credentials in order to gain access to iMessage. These techniques posed significant risks to user security and privacy, including the potential for metadata exposure and enabling unwanted messages, spam, and phishing attacks. We will continue to make updates in the future to protect our users.
Appleは、ユーザーがデータを管理し、個人情報を安全に保つことができるよう、業界をリードするプライバシーおよびセキュリティ技術で製品とサービスを構築しています。私たちは、iMessageにアクセスするために偽の認証情報を悪用するテクニックをブロックすることで、ユーザーを保護するための措置を講じました。これらのテクニックは、メタデータを公開したり、迷惑メッセージ、スパム、フィッシング攻撃を可能にしたりする可能性を含め、ユーザーのセキュリティとプライバシーに重大なリスクをもたらしていました。私たちはユーザーを保護するため、今後もアップデートを続けます。
Beeper Miniは、Apple独自のプッシュ通知サービスであるiMessageプロトコルを傍受し、Appleのサーバーに対して、Androidスマートフォンを本物のAppleデバイスであると信じ込ませることで動作していました。
Appleは、この方法は「偽の認証情報」を使用するもので、ユーザーに重大なセキュリティおよびプライバシーリスクをもたらすものだと主張しています。Beeper社は、同社のプロセスは暗号化やプライバシーを損なうことなく機能し、送信者とその受信者以外には誰も送信されたメッセージの内容を読むことができないと説明していますが、Appleはこれを確認することができず、ユーザーにリスクをもたらすと指摘しています。
Appleの声明を受けて、BeeperのCEOである Eric Migicovsky氏は、BeeperのコードのセキュリティレビューのためにAppleに協力する意思を表明しています。同氏はiPhoneユーザーとAndroidユーザー間のセキュアなコミュニケーション・チャネルの重要性を強調し、Appleの決定に異議を唱え、Beeper Mini復活のための解決策を模索する姿勢を崩していません。