現地時間の2019年1月28日、AppleがiOS端末やmacOS端末向けにリリースしている通話アプリ「FaceTime」で、通話の呼び出し中の段階で電話をかけた相手側の音声を拾うことが可能になるバグが話題を呼びました。このバグはなんとわずか14歳の少年が人気ゲームの「フォートナイト」をプレイしている途中に発見したもので、話題になる1週間以上前からAppleにその存在を警告していたことが明らかになっています。

Apple's FaceTime bug was discovered by a teen playing Fortnite - CNET
https://www.cnet.com/news/apples-facetime-bug-was-discovered-by-a-teen-playing-fortnite/

AppleのFaceTimeで、わずか数ステップの簡単な操作を行うだけで「相手が電話に出なくても相手の端末が拾う音声を聞くこと」が可能になるバグが発見されました。バグの詳細やバグを用いた盗聴を防ぐための方法などは、以下の記事にまとめられています。

iPhoneのFaceTimeで通話前に相手の音声が聞こえるバグが見つかる - GIGAZINE

AppleはFaceTimeバグに対処するため、2019年2月の頭にもソフトウェアアップデートを配信するとしており、同時にバグ修正までの間はFaceTimeのグループ通話機能をサーバー上から無効にするという処置をとっています。

1月28日に一気に世界中で話題となったFaceTimeバグですが、このバグは1月20日の時点であるTwitterユーザーがAppleのサポートアカウントに対して報告していたことが明らかになっています。

CNETによると、FaceTimeバグを発見したのはアメリカのアリゾナ州で暮らす14歳の男の子で、1月19日に友人とフォートナイトをプレイしている際に仲間うちでFaceTimeのグループ通話を使おうとして偶然見つけたとのこと。少年は弁護士である母親のMichele ThompsonさんにFaceTimeバグについて相談し、Apple側に報告することを決めます。

ThompsonさんはTwitterアカウント上で「FaceTimeバグの報告をAppleのカスタマーサービスに送信した証」として、メールでのバグ報告時にApple側から受け取った返信メールのスクリーンショットを公開しています。Thompsonさんは「私はAppleにバグを報告するために最善を尽くしましたが、彼らはそれを聞いていないかのようでした」と語っています。

Thompsonさんによると、FaceTimeバグの存在をApple側に認識してもらうため、Appleのティム・クックCEOあてに「AppleがすぐにFaceTimeバグに反応しなければこの存在が間もなく公開されることになるだろう」と警告するツイートを送ったそうですが、後になってツイートは削除したそうです。Thompsonさんはバグ報告の経験を経て、Appleにバグを報告するプロセスは日常的に法的文書の提出を行っている弁護士さえも「疲弊させ、憤慨させる」ことに気づいたとしています。

バグバウンティープラットフォームのHackerOneでCEOを務めるMarten Mickos氏は、「群衆からの声は、干し草の山から針を見つけることができるならば必ず価値のあるものになります」と述べており、一般の人がセキュリティバグを報告することは難しいと述べながら、そういった状況は徐々に変化しつつあると語っています。

なお、最終的にThompsonさんはAppleの担当者から電話で「バグを報告するには開発者として登録する必要がある」と言われ、その通りにして1月23日にようやくFaceTimeバグの報告に関する連絡をAppleから受けられたとのこと。しかし、その際にもAppleがバグを修正するという「兆候はみられなかった」とThompsonさんは語っています。

以下のムービーはThompsonさんが開発者として登録したのちに、Apple側にFaceTimeバグの詳細を説明するために使ったというムービー。複数のiPhoneを使って通話の呼び出し中に音声が聞こえてしまう状況を再現しており、このムービーは1月25日にアップロードされたそうです。

Thompsonさんは「一般市民がバグを発見して報告するのはとても難しいです。多くの人から偽の報告を受けているのだろうとわかりますが、問題を報告するための明確な方法がないということはとてもイライラします」と語っています。