セキュリティ専門家、「iPhone」実証コード2件を発表--設計に深刻な問題と指摘

文:Robert Vamosi(CNET News.com) 翻訳校正:編集部 2007年07月24日 09時59分

  • このエントリーをはてなブックマークに追加

 Independent Security Evaluators(ISE)の研究者らが、特別に作成されたウェブページを「Apple iPhone」が「Safari」を使って開くときの手法を悪用したエクスプロイトコードを少なくとも2件発表した。脆弱性の正確な詳細については、来週末ネバダ州ラスベガスで開催されるBlack Hatカンファレンスのプレゼンテーションで明らかになる。だが、概要の一部を以下に紹介する。

 ISEの研究者Charlie Miller、Jake Honoroff、Joshua Masonの各氏は、Black Hatプレゼンテーションの素案で、「iPhoneには、セキュリティ関連の設計とインプリメンテーションに深刻な問題がある」と指摘し、大半のプロセスが管理者権限で実行される点を指摘した。さらに、iPhoneに搭載されるカスタムOSはアドレスのランダム化も非実行ヒープも採用しておらず、脆弱性が見つかればだれでも簡単にエクスプロイトコードを作成できる。研究者らは、Safariブラウザのこのような脆弱性をファジングによって見つけたという。研究者らは2つのエクスプロイトコードを自作したが、これらの特定の脆弱性を悪用するエクスプロイトコードで公開されているものは存在しない。Appleには2007年7月17日に通知されているが、同社からはまだ回答がない。

 エクスプロイトコードの1つでは、悪質なコーディングが行われたウェブサイトにSafariブラウザを使ってアクセスすると、リモートにいる攻撃者が個人データ、SMSテキストファイル、コンタクト情報、通話履歴、パスワード、電子メール、ブラウザ履歴、そしてボイスメール情報を入手できるようになる。

 研究者らが開発したもう1つのエクスプロイトコードは、悪質にコーディングされたウェブサイトを訪れると、iPhoneが1秒間システムサウンドを鳴らし、バイブレータを動作させる。このエクスプロイトコードは、ある電話番号に電話をかけたり、テキストメッセージを送信したり、マイクを有効にして同じ部屋の中の離れた場所から会話を盗聴できるようにする。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!