カリフォルニアの10歳のハッカーが、どうやら多くの開発者ができなかったことをついに解明した。時計をいじるだけで、様々な携帯電話やタブレット端末用ゲームをハッキングできるのだ。そして彼女は、昨日ラスベガスで閉幕した、自称「世界最長寿、世界最大のアンダーグラウンド・ハッキング・カンファレンス」DEFCONのサブセットである、第1回DefCon Kidsハッカー・カンファレンスで、そのすべてを披露した。
ご存知の通り、試用版ソフトウェアの中には有効期限が設定されているものがあるので、試用期間を延長するために、コンピューターの時計を数日、数週間、あるいは数ヶ月戻せないか確認することがある。しかし、開発者が「タイムトラベル」を防ぐために、時計を逆再生する対策をずっと前から講じているため、この方法はうまくいかない。
あるいは、まだそうではないのかもしれない、と自称CyFiという10歳の少女は言う。彼女は昨年1月、退屈しのぎに時計の設定を変更すると、悪用可能なセキュリティホール、いわゆる「ゼロデイ脆弱性」が露呈することを発見したのだ。どうやら、彼女がプレイしていたファーミングゲームの進化は、十分な速さではなかったようだ。
「ゲームを進めるのが大変でした。物事が成長するまでに時間がかかりすぎたんです」と彼女はプレゼンテーションの直前にCNETに語った。「それで、『時間を変えればいいんじゃない?』って思ったんです」
CyFiは「アプリ – 時間と空間の両方を旅する人(そしてゼロデイと責任ある情報開示について学んだこと)」と題したプレゼンテーション概要の中で、アプリが大好きで、「アプリの世界では、時間と空間の両方をコントロールできる」と述べている。
アプリの世界は明らかにセキュリティについてまだ考えていないようです。ガールスカウトから学べる重要な教訓があります。「タイムトラベラー」と呼ぶ新しい種類の脆弱性についてご紹介します。
時間をコントロールすることで、カボチャを瞬時に育てたり、色々なことができます。この技術は無限の可能性を秘めています。やり方をお見せします。ゲームでもやりますか?ゼロデイを探しましょう!(楽しいですよ!)
CyFiの「ハック」は、単に時計をランダムに動かすだけではありませんでした。彼女は、アンチチート機構を回避するには、まずデバイスのWi-Fi接続を切断し、時計を少しずつ進めるといった操作をする必要があることに気づきました。
CyFi の脆弱性は独立機関によって検証されているが、彼女はゲーム開発者にセキュリティホールを塞ぐ時間を与えるため、責任ある行動として詳細については沈黙を守っている。
Game Onと交流する: Twitter – Facebook – お問い合わせ
