ニュース
Siriを使ってパスコードをかわされる脆弱性、Appleが修正
Siriと3D Touch機能を使ってパスコードを入力しなくてもiPhone 6sの連絡先や写真にアクセスできてしまう脆弱性が報告された。
Appleの「iPhone 6s」と「6s Plus」にパスコードを入力しなくても連絡先や写真にアクセスできてしまう脆弱性が見つかり、Appleが修正していたことが分かった。米紙Washington Postが4月5日付で伝えた。
この脆弱性に関する情報は同日、セキュリティメーリングリストのFull Disclosureに投稿されていた。それによると、脆弱性はiOS 9.3.1に存在していて、「3D Touch」機能を搭載したiPhone 6sと6s Plusのみが影響を受けるという。Appleには3月18日に報告したとしている。
Washington Postによれば、YouTubeにはこの脆弱性の実証ビデオも投稿された。悪用できるのは、ユーザーがSiriからTwitterへのアクセスを許可している場合に限られる。ロックがかかった端末でSiriを起動して誰かの電子メールアドレスを含んだツイートを検索させ、そのツイート上で3D Touch機能を使うと、パスコードを入力しないまま連絡先の追加や編集ができる状態になる。さらに、連絡先の追加や編集機能を経由して写真にもアクセスできる。
AppleはWashington Postの取材に対し、5日にこの脆弱性を修正したことを確認したという。ほとんどのユーザーはソフトウェアアップデートを行わなくても問題は修正されるとしている。
関連記事
- Apple、フリーズ問題修正のアップデート「iOS 9.3.1」配信
iPhoneやiPadでiOS 9.3にアップデート後、Safariやメール内のURLをタップするとフリーズする問題に対処する「iOS 9.3.1」が公開された。 - Apple、iOS 9.3やOS X、Safariなどの脆弱性に対処
iOS 9.3とwatchOS 2.2ではiMessageの暗号解除の脆弱性を修正。OS X、OS X Server、Safari、Xcode、tvOSの更新版も公開された。 - iPhone 6のTouchIDも「ハッキング可能」、セキュリティ企業が検証
iPhone 5sの時と同様に、iPhone 6のTouchIDもハッキングできることを確認したとセキュリティ企業Lookoutが報告した。 - MDM悪用でiOS端末に不正アプリをインストール、研究者が脆弱性デモ
脆弱性を悪用すると、モバイルデバイス管理(MDM)製品で管理されているiPhoneやiPadに無線経由で悪質なアプリをインストールできてしまうという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.