AppleがWi-FiのWPA2に関する脆弱性「KRACK」の情報をアップデートし、4-wayハンドシェイクに関する一部の脆弱性はiPhone 7以下に影響しないと発表しています。詳細は以下から。
Appleは現地時間2017年11月03日、iPhone Xの発売と合わせて10月31日にリリースした「iOS 11.1」のセキュリティコンテンツ情報をアップデートし、ベルギーのルーヴェン・カトリック大学のMathy Vanhoefさんによって発見されたWi-FiのWPA2に関する脆弱性KRACK(Key Reinstallation AttaCK)の一部はiPhone 7や6s/6シリーズ, iPhone SE/5s, iPad Air, 第6世代iPod Touch以下のデバイスに影響しないとコメントしています。
Wi-Fi
- Available for: iPhone 8, iPhone 8 Plus, and iPhone X
- Not impacted: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air and later, and iPod Touch 6th generation
- Impact: An attacker in Wi-Fi range may force nonce reuse in WPA unicast/PTK clients (Key Reinstallation Attacks KRACK)
- Description: A logic issue existed in the handling of state transitions. This was addressed with improved state management.
- CVE-2017-13077: Mathy Vanhoef of the imec-DistriNet group at KU Leuven
- CVE-2017-13078: Mathy Vanhoef of the imec-DistriNet group at KU Leuven
About the security content of iOS 11.1 – Apple Support
新たに公開されたセキュリティコンテンツによると、iPhone 7以下のデバイスに影響しない脆弱性は4-wayハンドシェイクの実行中にペア/グループキー(PTK-TK/GTK)が再インストールされる脆弱性CVE-2017-13077およびCVE-2017-13078で、11月2日にVanhoefさんがCCS 2017で発表したKRACKスライドや事前に公開されていた論文(Table 1)にもこのことが記載されています。
Slides of my presentation at #CCS17 on the #KRACK attack: key reinstallation attacks against WPA2
Mathy Vanhoefさんのツイート – Twitter
現在の対応
公開が前後したことで「AppleはiPhone 7以降にKRACKへの対応をしないのか?」という議論がRedditなどで起こり、PC Watchさんにも機種が限定されているという主旨の記事が出ているというご指摘をいただきましたが、セキュリティコンテンツを見る限りでは以下の様に「影響しない」または「修正済」となっている様です。
- CVE-2017-13077/CVE-2017-13078
- iPhone 8/8 Plus/XはiOS 11.1で修正済。
- iPhone 7, iPad Air, 第6世代iPod Touch/Apple Watch/第4世代Apple TVには影響しない。
- CVE-2017-13080
- iPhone 7, iPad Pro 9.7インチ(Early 2016)モデル以降/Apple Watch Series 1およびSeries 2/Apple TV 4Kで修正済。
- About the security content of iOS 11.1 – Apple Support
- About the security content of tvOS 11.1 – Apple Support
- About the security content of watchOS 4.1 – Apple Support
- About the security content of macOS High Sierra 10.13.1, Security Update 2017-001 Sierra, and Security Update 2017-004 El Capitan – Apple Support
- Apple、WPA2暗号化の脆弱性を修正した「iOS 11.1」、ただし機種限定 – PC Watch
コメント
https://pc.watch.impress.co.jp/docs/news/1089340.html
https://internet.watch.impress.co.jp/docs/news/1089292.html
11月5日(日)の夜にPC WatchとINTERNET Watchの問い合わせメールアドレスへ、この記事のリンクを貼ったメールを送ってみました。
11月6日(月)時点でINTERNET Watchの方には追記され、PC Watchではまだ追記されていないようです。
ご協力頂いてありがとうございます。
残りのKRACK脆弱性についても米ArsがAppleに直接問い合わせたようなので、そのうちアップデートされるかもしれません。
ttps://arstechnica.com/gadgets/2017/10/apple-releases-macos-10-13-1-and-ios-11-1-with-a-krack-fix-and-new-emoji/
>Update: As Ars readers have pointed out, Apple’s support documentation states that the iOS KRACK fix is available for iPhone 7 and later, and for the early 2016, 9.7-inch iPad Pro and later. It is unclear whether this means previous devices are still vulnerable, or they had previously not been vulnerable and thus didn’t need an update. Ars has reached out to Apple for comment.