iPhoneの脆弱性突くコンセプト実証コードが登場、個人情報盗む

iPhoneに搭載されたSafariブラウザで悪質なWebページを閲覧させ、iPhoneに保存された個人情報を不正に取得することが可能だという。

[ITmedia]

　AppleのiPhoneに存在する脆弱性を発見し、この問題を突いてiPhoneに保存された個人情報を盗み出すことができるコンセプト実証（PoC）コードの開発に成功したと、セキュリティ研究者が発表した。

　iPhoneの脆弱性情報を公開したのは、米セキュリティコンサルタント会社Independent Security Evaluatorsの研究チーム。今回は概略のみだが、ラスベガスで開催のBlackHatで8月2日に詳しい情報を発表すると予告している。

iPhoneをハッキングする様子を示したビデオも公開

　同チームはこのほど公開した報告書で、iPhoneにはセキュリティの設計・実装に関する「深刻な問題」が存在すると指摘。その弱点を実証するため、iPhoneに搭載されたSafariブラウザの脆弱性を実証するPoCコードを開発したと述べている。

　PoCコードは、iPhoneに搭載されたSafariブラウザで悪質なWebページを閲覧させることによって機能する。攻撃経路には、攻撃側の制御下にあるワイヤレスアクセスポイント、設定ミスのあるWebフォーラムソフト、電子メール／SMSで送信するリンクを利用する。

　ユーザーがiPhoneで不正なWebページを閲覧すると、PoCコードが管理者権限で実行される。今回のPoCコードでは、iPhoneに記録されているSMSのログやアドレス帳、通話履歴、ボイスメールのデータを読み取って、攻撃側に送信することができたという。

　情報はすべてユーザーが知らないうちに、自動的に攻撃側に送信される。また、ファイルシステムを調べたところ、パスワードやWeb閲覧履歴といった個人情報をiPhoneから取得可能であることも分かったとしている。

　また、別のエクスプロイトでは、やはりHTMLページを参照させることにより、iPhoneの音を鳴らして振動させることにも成功。ほかのAPIを使えば、電話番号をダイヤルさせたり、テキストメッセージを送信させたり、音声を録音してそれをネットワーク経由で攻撃者側に送信させることも可能になるとしている。

　研究チームではiPhoneハッキングの模様を示したビデオを公開。回避策として、「信頼できるサイトのみを閲覧すること」「信頼できるWi-Fiネットワークのみを使うこと」「電子メールに記載されたリンクはクリックしないこと」を挙げている。

　Appleには7月17日に問題を通報済みで、現在同社で調査中だという。