ニュース
iOSのメールアプリに問題か、フィッシング悪用の恐れも
問題を悪用された場合、リモートのHTMLコンテンツを読み込んで、本来のメールメッセージのコンテンツに置き替えることができてしまう。
米AppleのiOS向けメールクライアントに、フィッシング詐欺に利用される恐れのある未解決の問題が見つかったとして、研究者がこのほどGitHubでコンセプト実証コードを公開した。
チェコの研究者Jan Soucek氏がGitHubに掲載した情報によると、この問題は特定のHTMLタグの扱いに起因する。悪用された場合、リモートのHTMLコンテンツを読み込んで、本来のメールメッセージのコンテンツに置き替えることができてしまうという。簡単なHTMLとCSSを使ってパスワード収集ツールを作成することも可能だとしている。
同氏は、iOS 8.1.2のメールでこの問題を悪用し、iCloudの正規のログインページに見せかけた偽画面を表示して、ユーザー名とパスワードを入力させる様子を示したデモ映像をYouTubeに公開した。
1月に同氏はAppleのバグ報告ツール「Radar」を通じてこの問題を報告したが、8.1.2以降のiOSでも修正されなかったことから、「コンセプト実証コードを公開することにした」と説明している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
iPhoneのクラッシュ問題、Appleが対策説明
「特定のユニコード文字の連続によって引き起こされるiMessageの問題」をAppleが認め、当面の対策を紹介した。
「Apple Watchにはアクティベーションロックがないので盗まれやすい」と話題に
iPhoneには盗まれて工場出荷時の設定にされてもアクティベーションできない(=利用できない)ようにする機能があるが、Apple Watchには同様の機能がないため、盗まれやすいと米ブログメディアが指摘した。
iOS 8に新たな脆弱性、悪用で起動不能に
特定の状況下ではiOSデバイスがリブートサイクルを繰り返して使い物にならなくなる現象も確認されたという。
AppleのiOS 8.2、「FREAK」の脆弱性も修正
iOS 8.2では通称「FREAK」と呼ばれるSSL/TLS実装の脆弱性が修正されたほか、多数の脆弱性やバグが修正された。