iOSに脆弱性、不正アプリでユーザーの入力内容を監視可能に

[鈴木聖子，ITmedia]

　AppleのiPhoneやiPadなどに搭載されているiOS 7に、不正アプリを使ってユーザーの入力内容などを密かに監視できてしまう脆弱性が見つかったとして、セキュリティ企業のFireEyeが2月24日のブログで報告した。

脆弱性を突いて情報が盗み見されてしまう（FireEyeより）

　同社はコンセプト実証のため、iOS 7向けの「監視」アプリを作成し、ユーザーによる画面のタッチや、ホームボタンや音量調節ボタンの操作、TouchIDの操作などを全てバックグラウンドで記録する機能を持たせた。攻撃に利用されればユーザーが入力した内容が全て流出する恐れもあるという。

　Appleによる審査をかわして、このアプリを「脱獄（Jailbreak）」させていないiOS 7端末向けに提供できてしまう方法も発見したとしている。

　デモ用アプリは、iOS 7.0.4を搭載したiPhone 5sで機能させることに成功。iOS 7.0.5と7.0.6、6.1.xにも同じ脆弱性が存在することを確認したとしている。攻撃にはユーザーをだまして不正なアプリをインストールさせたり、一部アプリの別の脆弱性を突くなどの手口が考えられるという。

　iOS7には「Appのバックグラウンド更新」を設定できる機能があり、ここでバックグラウンド更新が不要なアプリの設定を無効にしておけば、バックグラウンドでの監視は防止できる。しかしFireEyeによれば、この設定はかわすことが可能で、例えばバックグラウンド更新を有効にしていなくても音楽はバックグラウンドで再生できる。不正なアプリでこの機能を悪用すれば、音楽アプリを装ってバックグラウンドで監視ができてしまうという。

　FireEyeは現時点でリスクを回避するための唯一の対策として、iOSのタスクマネジャーを使ってバックグラウンドで実行されているアプリを停止する方法を紹介している。