iOSに脆弱性、不正アプリでユーザーの入力内容を監視可能に
AppleのiPhoneやiPadなどに搭載されているiOS 7に、不正アプリを使ってユーザーの入力内容などを密かに監視できてしまう脆弱性が見つかったとして、セキュリティ企業のFireEyeが2月24日のブログで報告した。
同社はコンセプト実証のため、iOS 7向けの「監視」アプリを作成し、ユーザーによる画面のタッチや、ホームボタンや音量調節ボタンの操作、TouchIDの操作などを全てバックグラウンドで記録する機能を持たせた。攻撃に利用されればユーザーが入力した内容が全て流出する恐れもあるという。
Appleによる審査をかわして、このアプリを「脱獄(Jailbreak)」させていないiOS 7端末向けに提供できてしまう方法も発見したとしている。
デモ用アプリは、iOS 7.0.4を搭載したiPhone 5sで機能させることに成功。iOS 7.0.5と7.0.6、6.1.xにも同じ脆弱性が存在することを確認したとしている。攻撃にはユーザーをだまして不正なアプリをインストールさせたり、一部アプリの別の脆弱性を突くなどの手口が考えられるという。
iOS7には「Appのバックグラウンド更新」を設定できる機能があり、ここでバックグラウンド更新が不要なアプリの設定を無効にしておけば、バックグラウンドでの監視は防止できる。しかしFireEyeによれば、この設定はかわすことが可能で、例えばバックグラウンド更新を有効にしていなくても音楽はバックグラウンドで再生できる。不正なアプリでこの機能を悪用すれば、音楽アプリを装ってバックグラウンドで監視ができてしまうという。
FireEyeは現時点でリスクを回避するための唯一の対策として、iOSのタスクマネジャーを使ってバックグラウンドで実行されているアプリを停止する方法を紹介している。
関連記事
- Apple、iOS 6と7のアップデート公開 SSL/TLS通信傍受の恐れ
- Apple、OS Xのセキュリティ更新を公開、Mountain LionとLion向けにも
- iOS 7対応の脱獄ツール、アプリストアを巡り問題発覚
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- 新型「iPad Pro」がM3チップをスキップした理由 現地でM4チップ搭載モデルと「iPad Air」に触れて驚いたこと (2024年05月09日)
- 「M4チップ」と「第10世代iPad」こそがAppleスペシャルイベントの真のスターかもしれない (2024年05月10日)
- 個人が「Excel」や「Word」でCopilotを活用する方法は? (2024年05月08日)
- Minisforum、Intel N100を搭載したスティック型ミニPC「Minisforum S100」の国内販売を開始 (2024年05月10日)
- “NEXT GIGA”に向けた各社の取り組みやいかに?──日本最大の教育関連展示会「EDIX 東京」に出展していたPCメーカーのブースレポート (2024年05月09日)
- NECプラットフォームズ、Wi-Fi 6E対応のホーム無線LANルーター「Aterm WX5400T6」 (2024年05月09日)
- ASRock、容量約2Lの小型ボディーを採用したSocket AM5対応ミニベアボーンPCキット (2024年05月10日)
- SSDの“引っ越し”プラスαの価値がある! 税込み1万円前後のセンチュリー「M.2 NVMe SSDクローンBOX」を使ってみる【前編】 (2024年05月06日)
- Core Ultra 9を搭載した4型ディスプレイ&Webカメラ付きミニPC「AtomMan X7 Ti」がMinisforumから登場 (2024年05月08日)
- これは“iPad SE”なのか? 新型iPadを試して分かった「無印は基準機」という位置付けとシリーズの新たな幕開け (2022年10月24日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。