セキュリティ
HearRelay ユーザーを守るためのご協力に感謝します。本ページでは脆弱性の報告方法と、HearRelay のセキュリティ設計の概要をご案内します。
脆弱性のご報告
以下の情報を添えて hearrelay-security@conex-cp.com までメールでお知らせください:
- 問題の明確な説明
- 再現手順(または PoC)
- ご利用の HearRelay のバージョンと iOS / iPadOS のバージョン
- 推奨される緩和策(ある場合)
- 公開時にクレジット表記を希望されるかどうか
初回ご報告はメールでお願いします。必要に応じて GitHub Security Advisory(Private Disclosure)を設けて以降の連携を行います。
修正版のリリース前に脆弱性の詳細を公開することはお控えください。
対象範囲
- HearRelay iOS / iPadOS アプリ本体
- ペア端末間の暗号ハンドシェイクおよび TLS 伝送路
- iCloud Key-Value Storage を用いたピア発見プロセス
- 端末内のファイル取り扱い(録音保存・自動削除)
- プロジェクト Web サイト
hearrelay.app
対象外
- Apple の OS・フレームワーク・iCloud インフラの脆弱性(Apple に直接ご連絡ください)
- 第三者製 Wi-Fi ルータ・Bluetooth ヘッドフォン等のハードウェア脆弱性
- 開発者や他ユーザーを対象としたソーシャルエンジニアリング
- GitHub Pages 側で設定できない範囲のセキュリティヘッダ不足
- 脱獄やその他改変済み端末でのみ再現する問題
対応目標
| 重要度 |
初動応答 |
修正目標 |
| Critical |
24 時間以内 |
7 日以内 |
| High |
3 日以内 |
30 日以内 |
| Medium / Low |
7 日以内 |
次回定期リリース |
上記は目標であり保証ではありません。
協調的開示(Coordinated Disclosure)
- 調査の進捗は随時ご報告します。
- 公開のタイミングはご相談の上で決定します(通常は修正版リリース時)。
- リリース時にセキュリティアドバイザリを公開し、ご希望に応じて報告者のクレジット表記を行います。
セキュリティ設計の概要
HearRelay は以下の 3 原則に基づいて設計されています:
- データ最小化 — 音声データ・録音データが端末外に出ることはなく、解析や広告 SDK も一切組み込まれていません。
- ローカルネットワーク限定 — ペア端末間の通信は同一 Wi-Fi・ローカルネットワーク内のみで行われ、インターネット経由での通信は一切ありません。
- 暗号的なピア認証 — 端末は Curve25519 / P-256 鍵により相互に識別され、対応機種では Secure Enclave に鍵を保管します。発見は iCloud Key-Value Storage を介し、お客様の Apple ID のスコープに限定されます。
伝送は TLS 1.3 によって暗号化され、iOS の提供する AEAD 暗号スイートのみを使用します。
より詳細な内部設計資料は本プロジェクトの設計ドキュメントに記載されています。
お問い合わせ
- セキュリティ報告: hearrelay-security@conex-cp.com
- 一般的なお問い合わせ: hearrelay-support@conex-cp.com
English version: Security