先日「iOS 7 」の「SSL接続時の検証に関する問題」が修正されたばかりですが、再び「iOS 7」に関する脆弱性の可能性が指摘されました。なんでも、悪意のあるアプリをインストールすると、入力した文字列が監視され、外部に漏れる可能性があるとのこと。
現時点ではあくまでも“可能性がある”と報道されている段階で、実害は報告されていませんが、念のために気を付けておく必要はありそうです。
iOS 7に新たな脆弱性?画面入力が外部に漏れる可能性あり
セキュリティ企業のFireEyeによると、AppleのiPhoneやiPadなどに搭載されているiOS 7に、不正アプリを使ってユーザーの入力内容などを密かに監視できてしまう脆弱性が見つかったとのこと。実際にFireEyeでは、テストアプリを作成し、iOS 7.0.4を搭載したiPhone 5sで機能させることに成功したそうです。
個人的に、脱獄していない正規のiphoneでこのような脆弱性が見つかったというのは、結構大ごとだと思うし、FireEyeはAppleによる審査をかわして、不正アプリを提供する事も可能だと言っているのがさらに恐ろしいところ。
FireEyeの研究者らは米国時間2月24日のブログ投稿で、ジェイルブレイクされていない「iOS 7.0.x」搭載デバイス上で「監視」アプリをインストールするテストを実施したと述べた。このアプリはバックグラウンドで動作し、画面のタッチ、ホームボタンのプレス、音量ボタンのプレス、「Touch ID」のプレスを含む、タッチおよびプレスの全イベントを記録できた。FireEyeのチームは調査結果に基づき、攻撃者がこうしたアプリを使用して、リモートでiOSデバイス上のキーストロークや画面のタッチ操作を入手することにより、「狙った相手が入力するすべての文字」を再現できる可能性があると結論づけた。
報道によると、この脆弱性はiPhoneやiPadでバックグランドアプリを実行する手法に内在するという。これらのアプリはデバイス上で行われるすべてのキーストロークやタッチ入力を検知できるからだ。「Appのバックグラウンド更新」設定を無効にするとバックグラウンドでの監視を防止できるが、音楽プログラムを装った悪意あるアプリがこうした監視を行う可能性は残る。
CNET Japan
FireEyeによると、現時点でリスクを回避するための唯一の対策は、iOSのバックグラウンドで実行されているアプリを停止することだそうです。つまり、不要なアプリは起動せず、こまめにアプリを手動で停止させることが必要になるということですね。でもこれはちょっと面倒。。個人的には、この問題が実際に起こりうる状況なのならば、早急にアップルさんには対策を施してほしいものです。
iOS 7のバックグラウンドで実行されているアプリを停止する方法は過去記事を参照してくださいね。
コメント