Corellium と Apple は、同社の仮想 iPhone サービス運営をめぐる法廷闘争で再び非難の応酬を繰り広げている。
クリスマス休暇中に、クパチーノ在住のスマホ投げつけ男が、Corelliumが開発者やセキュリティ研究者向けに提供している仮想化Armベースインスタンスに関して、米国フロリダ州でCorelliumを相手取り修正訴状[PDF]を提出した。Corelliumによると、これらのインスタンスはAppleのiOSのあらゆるバージョンを実行でき、クラウドホスト環境でコードやエクスプロイトのテストとデバッグが可能で、必要に応じてジェイルブレイクも可能だという。
クラッシュをデバッグしたり、仮想マシンで実行しながらOS内部を調査する機能はすべてWebブラウザから実行できるという大きなメリットがあり、物理的な端末を購入して脱獄したり、あるいは内部の仕組みを調べてトラブルシューティングしたり、低レベルの障害やバグを発見したりする必要から解放されます。iThingsは研究を困難にするほどロックダウンされているため、Corelliumのホスト型ロック解除デバイスは研究者や脱獄開発者に人気があります。
ちなみに、AppleはCorelliumのサービスがiOSのバグ発見や脆弱性のエクスプロイト販売を支援しているように見えること、そしてApple自身のiOSバグ報奨金プログラムと競合しているように見えることにも不満を抱いている。このプログラムはかつては招待制で秘密主義かつ閉鎖的な雰囲気だったが、現在はより広く世界に開放されている。
Appleの最新の苦情は、8月中旬の最初の提出書類を大幅に書き直したもので、同社のクラウドサービスは合法であり「革新的で変革的」であるというCorelliumの10月の反論に対する回答となっている。
Corellium は、Apple が iOS のバグや脆弱性を突く者を取り締まり、脱獄の試みを阻止しようとしていると主張しているが、iGiant の最新の文書は、Corellium が iOS とそのバンドル アプリやユーザー インターフェイス (Apple が Corellium にライセンスを付与していない技術) を盗用して手っ取り早く金儲けしようとしているという中心的な主張に焦点を当てている。
さらに、Apple は、Corellium の技術が iOS の脱獄の開発に利用される可能性があることに非常に憤慨しており、シリコンバレーの巨大企業はそれを違法であると考えている。
「高尚な言葉とは裏腹に、Corellium は実際、自社の利益のために Apple の技術と、その技術に組み込まれたセキュリティ対策を回避する能力を販売しており、顧客が誠意あるセキュリティ研究のみに従事していることを保証する努力を一切していない」と提出書類には記されている。
「その代わりに、Corellium は Apple の独自ソフトウェアの無許可コピーを使用して営利目的で製品を販売しており、オープン市場でのソフトウェアの脆弱性の販売を含む、あらゆる目的で使用されることを公然と意図しています。」
Appleは、仮想iPhone投げつけ業者が著作権を侵害しているとして、Corelliumに法的措置を講じた。
続きを読む
Appleは、疑惑の改造についても詳細を説明した。Corelliumは基本的に、iOSの保護機能をすべて削除すると主張している。これらの保護機能は、非公式ハードウェアでの動作や、悪意のあるユーザーや脱獄者による改造を防ぐためのものだ。研究者は、OSの低レベルの仕組みを操作したり調査したりするために、これらの保護機能を削除したいと考えている。
Appleは修正された訴状の中で、「CorelliumのApple製品はiOSに変更を加え、Corelliumが開発または運営するハードウェアにインストールして実行できるようにする」と述べた。
「このような変更には、ロード可能なファームウェア検証の無効化、FIPS モジュールの自己検証の無効化、Corellium ソフトウェアの「信頼キャッシュ」への追加、カーネル / デバイス ツリー / ファームウェアの署名のために Apple サーバーに接続しないように復元ツールに指示することが含まれます。」
「アップルは、今回の件を新たな角度からのジェイルブレイク取り締まりの試金石として利用している。アップルは、今回の攻撃をCorelliumだけに限定するつもりはないことを明確にしており、公衆によるジェイルブレイクを根絶する前例を作ろうとしている」とゴートン氏は12月29日に述べた。
Appleがジェイルブレイクを執拗に非難していることに、私たちは深く失望しています。業界全体で、開発者や研究者は自社アプリとサードパーティアプリのセキュリティテストにジェイルブレイクを利用しています。しかし、このテストはジェイルブレイクされたデバイスなしでは実行できません。
アップルはゴートン氏の声明についてコメントを控えた。®
