アップル、iOSの危険な脆弱性の修正プログラムを開発中
ジェイルブレイク・ツールのリリースで新たな脆弱性が明らかに米国Appleは7月7日、同社の「iPhone」、「iPad」、「iPod touch」に影響する脆弱性の修正プログラムを開発していることを明らかにした。この脆弱性についてドイツ政府は、機密データを盗むのに悪用されるおそれがあると注意を呼びかけている。
この脆弱性は、iPhoneなどのデバイスに非正規のアプリケーションをインストールできるようにするフレームワークの新版「JailbreakMe 3.0」が7月6日にリリースされたことで明らかになった。
Appleは、App Storeからの配布が承認されていないアプリケーションのインストールを禁止している。しかしハッカーは、iOSの脆弱性を突いてiPhoneを“ジェイルブレイク”することで、「Cydia」のようなアプリケーション・マーケットから入手されたAppleのお墨付きがないアプリケーションを使えるようにしている。
ドイツの連邦政府の情報セキュリティ確保を担う組織であるBSI(Bundesamt fuer Sicherheit in der Informationstechnik)は7月6日、JailbreakMe 3.0のリリースで明らかになった脆弱性についてアラートを公開し、「この脆弱性は、特殊な細工が施されたPDFドキュメントをユーザーが開いた場合に、悪用されるおそれがある」と説明した。この問題は、モバイルSafariブラウザ内でiOSがフォントを解析する方法に関連している。
また、ASLR(Address Space Layout Randomization)の回避を可能にしてしまう脆弱性もある。ASLRは、メモリ上でのプログラムの配置をランダム化し、攻撃を困難にするセキュリティ機能だ。
BSIは、攻撃者がこれらの脆弱性を悪用し、パスワードやバンキング・データ、電子メールを盗み出したり、内蔵カメラにアクセスしたり、通話を傍受したり、ユーザーのGPS座標を入手したりする危険があると指摘している。
Appleがセキュリティ問題についてコメントすることはめったにないが、同社英国法人の企業広報担当シニア・ディレクター、アラン・ヒーリー(Alan Hely)氏は、声明で以下のように述べている。
「Appleはセキュリティに非常に真剣に取り組んでいる。この報じられている問題を認識しており、修正プログラムを開発中だ。このプログラムは、近くリリースされるソフトウェア・アップデートで顧客に提供される」
BSIは、脆弱性の影響を受けるのは、iOS 4.3.3までのiOSを搭載するiPhone 3G、iPhone 4、iPad、iPad 2、iPod touchだとしている。
JailbreakMeの開発にかかわっている1人である“Comex”と名乗るハッカーは、今回明らかになった脆弱性の修正プログラム「PDF Patcher 2」をCydiaで公開している。このプログラムは、Appleがインストールを禁止しているアプリケーションに該当するJailbreakMeをインストール済みのデバイスで動作する。
「Appleがアップデートをリリースするまでは、皮肉にも、ジェイルブレイクを行うことが、デバイスを安全に保つ最善策になる」。JailbreakMeサイトの説明にはそう記されている。
(Jeremy Kirk/IDG News Serviceロンドン支局)
