iPhoneアプリケーションの作者がiPhoneのセキュリティ機能をかわして不正なコンポーネントを仕込むことができる方法が報告している。セキュリティ企業の米McAfeeがブログで伝えた。
開発者がiPhoneのオフィシャルSDKを使って構築したアプリケーションをiPhone用の公式アプリケーションとして提供するためにはデジタル署名を付ける必要がある。この過程でプログラムファイルやコンポーネントの一部を隠す方法があることを、ある開発者が発見しインターネットに公開した。
デジタル署名の目的は、アプリケーションに無断で手を加えて危険な機能が搭載されるのを防ぐことにある。しかしこの方法を使うと、攻撃者が自己更新機能を使って悪質なコンポーネントを仕込むことができるようになり、iPhone OSのセキュリティ機能をかわすことができてしまうという。
ただし、アプリケーションの署名を使えばマルウェアの作者は容易に突き止められるとMcAfeeは指摘。脆弱性はiPhone SDKのユーティリティとiPhone OSの認証システムに存在するため、近くアップデートで対処されるだろうとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR