「iPhone」のブラウザ経由ジェイルブレイク、悪用される危険も

文:Erica Ogg(CNET News) 翻訳校正:緒方亮、高森郁哉 2010年08月04日 14時31分

  • このエントリーをはてなブックマークに追加

 米国時間8月1日にリリースされた「iPhone」のジェイルブレイク(脱獄)の手法は、モバイルブラウザ「Safari」の脆弱性を暴露したのかもしれない。

 iPhoneをコンピュータに接続してソフトウェア更新を実行する必要があった従来のジェイルブレイクと異なり、iPhone Dev Teamが「JailbreakMe.com」に投稿した最新のジェイルブレイクは、iPhone搭載ブラウザのSafariを介して完了する。

 しかし、Safariを介するだけで実行可能だという事実と、そのやり方は、米CNETの読者とリスナー数人から8月3日に受け取ったメールで指摘されているように、より大きな問題を示している。つまり、可能性としては、あるウェブページを訪問しただけで、iPhone(あるいは「iPod touch」や「iPad」)を誰かにコントロールされる危険がある、ということだ。サイト側は、このエクスプロイトをシンプルなPDFへのリンクとして掲載でき、リンクをクリックすること以外に、ユーザーの明確なアクションを必要としない。ユーザーがクリックすると、このサイトは、PDFビューアがフォントをロードする仕組みを利用するエクスプロイトを起動できる。

 その結果、現在テスト目的で開発者の手元にある「iOS 4.1」ベータ版を除くと、ほぼすべてのバージョンのiPhoneファームウェアについて、このプログラムがiPhone、iPad、iPod touchに無制限でアクセスできるようになる

 Appleにコメントを求めたところ、同社の広報担当者は、「(当社は)この報告を認識しており、調査を行っている」と述べた。

 Independent Security Evaluatorsの主席アナリストで、iPhoneのリモートエクスプロイトを最初に発見して公表したCharlie Miller氏は、「本当に深刻だ」と述べた。

 Miller氏はCNETに対し、2つの脆弱性と2つのエクスプロイトが個別に存在すると説明した。同氏によると、脆弱性の1つは、SafariがPDFファイルを解読する方法に関係しており、これが防御的なサンドボックスの内部にエクスプロイトコードを送り込むことを可能にするという。もう1つの脆弱性は、コードがサンドボックスを突破し、デバイス上のルート、コントロール、権限を奪うことを可能にする、とMiller氏は述べた。

 「基本的に、iPhoneは複数の防御レイヤによって安全性を確保しているため、たとえ誰かがユーザーのウェブブラウザを危険にさらそうとしても、攻撃者ができることは限られる」(Miller氏)

 今回のエクスプロイトは悪意のないものだが、別のハッカーがこのソフトウェアを入手してリバースエンジニアリングを行い、悪用する目的でデバイスの制御を奪取するエクスプロイトをリリースするかもしれない。

 「iPhoneの研究を手がけていることで知られる人は大勢いるが、今回の人物については聞いたことがない。そこから分かるのは、(iPhone研究で)知られている研究者の人数より何倍も多く、同等かおそらくそれ以上の知識を持つ無名の研究者が存在することであり」、そうした無名の研究者らが、誉められない意図を持っている場合があるかもしれない、とMiller氏は述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]