iPhoneの脆弱性突くコンセプト実証コードが登場、個人情報盗む

iPhoneに搭載されたSafariブラウザで悪質なWebページを閲覧させ、iPhoneに保存された個人情報を不正に取得することが可能だという。

» 2007年07月24日 08時39分 公開
[ITmedia]

 AppleのiPhoneに存在する脆弱性を発見し、この問題を突いてiPhoneに保存された個人情報を盗み出すことができるコンセプト実証(PoC)コードの開発に成功したと、セキュリティ研究者が発表した。

 iPhoneの脆弱性情報を公開したのは、米セキュリティコンサルタント会社Independent Security Evaluatorsの研究チーム。今回は概略のみだが、ラスベガスで開催のBlackHatで8月2日に詳しい情報を発表すると予告している。

画像 iPhoneをハッキングする様子を示したビデオも公開

 同チームはこのほど公開した報告書で、iPhoneにはセキュリティの設計・実装に関する「深刻な問題」が存在すると指摘。その弱点を実証するため、iPhoneに搭載されたSafariブラウザの脆弱性を実証するPoCコードを開発したと述べている。

 PoCコードは、iPhoneに搭載されたSafariブラウザで悪質なWebページを閲覧させることによって機能する。攻撃経路には、攻撃側の制御下にあるワイヤレスアクセスポイント、設定ミスのあるWebフォーラムソフト、電子メール/SMSで送信するリンクを利用する。

 ユーザーがiPhoneで不正なWebページを閲覧すると、PoCコードが管理者権限で実行される。今回のPoCコードでは、iPhoneに記録されているSMSのログやアドレス帳、通話履歴、ボイスメールのデータを読み取って、攻撃側に送信することができたという。

 情報はすべてユーザーが知らないうちに、自動的に攻撃側に送信される。また、ファイルシステムを調べたところ、パスワードやWeb閲覧履歴といった個人情報をiPhoneから取得可能であることも分かったとしている。

 また、別のエクスプロイトでは、やはりHTMLページを参照させることにより、iPhoneの音を鳴らして振動させることにも成功。ほかのAPIを使えば、電話番号をダイヤルさせたり、テキストメッセージを送信させたり、音声を録音してそれをネットワーク経由で攻撃者側に送信させることも可能になるとしている。

 研究チームではiPhoneハッキングの模様を示したビデオを公開。回避策として、「信頼できるサイトのみを閲覧すること」「信頼できるWi-Fiネットワークのみを使うこと」「電子メールに記載されたリンクはクリックしないこと」を挙げている。

 Appleには7月17日に問題を通報済みで、現在同社で調査中だという。

関連キーワード

Apple | 情報流出 | iPhone | Safari


Copyright © ITmedia, Inc. All Rights Reserved.