iOS 7にロック画面迂回のバグ

iOSに見つかった脆弱性の内容と、その対策。

ios7ロック迂回-featured

Appleのモバイルデバイス向けの新しいオペレーティングシステムには明らかな欠陥があり、それを悪用すると、セキュリティコードを入力してデバイスをロック解除することなく、だれでもユーザーの連絡先情報やソーシャルメディアアカウントにアクセスできます。

ZDNetによると、現在広く報道されているこのエクスプロイトは、カナリア諸島に住む兵士が最初に発見したといいます。同氏は9月17日の火曜日、この脆弱性を詳細に説明するビデオをYouTubeにいち早く投稿しました。このビデオでは、Forbes.comの記事で説明されている通り、ロック画面を迂回する手順について詳しく述べています。

誰でもこのバグを悪用できる。まず、ロック画面で上方向にスワイプしてこの電話の「コントロールセンター」にアクセスし、タイマーを開く。スリープボタンを長押しすると、[スライドで電源オフ]オプションが出てくるが、ここで[キャンセル]をタップしてホームボタンをダブルタップすると、マルチタスク画面にアクセスできる。ここから、カメラや保存されている写真にアクセスできる。また、これら写真をこのユーザーのメールやTwitter、Flickrのアカウントから共有することも可能だ。

 この欠陥は本質的に広範囲に及ぶもので、上で説明した手順を通じてユーザーの写真とその写真の共有機能に自由にアクセスできます。これには、ソーシャルメディアアカウントやメールへのアクセスも含まれ、さらにiMessageで写真を送信するオプションを選べば、ユーザーのすべての連絡先とそこに保存された情報にアクセスできます。

報道によれば、Appleはこの問題を認めており、今後のソフトウェアアップデートで修正する予定だとしています。

報道によれば、Appleはこの問題を認めており、今後のソフトウェアアップデートで修正する予定だとしています。

パッチ適用までの間は、ロック画面でのコントロールセンターへのアクセスを無効化することで、この問題を防ぐことができます。[設定]から[コントロールセンター]に行き、[ロック画面でのアクセス]をスワイプしてロック画面でコントロールセンターを表示させないようにします。

コンピューターやモバイルデバイスなどの新しいオペレーティングプラットフォームでは、最初の公開時にバグがあるのはほぼ予想されたもので、Appleもそういった問題をめぐる議論を知らないわけではありません。2012年にiOS 6の提供が開始されたとき、Appleはそれまで搭載されていたGoogle Mapsアプリを廃止して、自社製の不完全なナビゲーションツールであるApple Mapsに置き換えました。このアプリではいつも、目的地を適切に検索できず、不正確な道順が示されました(それが命にかかわるような状況まで生んでいます)。また、そのGPS機能を使った位置情報は間違っていました。普段は誤りを認めることのないAppleですが、このときはアプリの欠陥を公式に認めて、結局そのデザイナーを解雇しています。

創設者であるスティーブ・ジョブズ(Steve Jobs)氏が2011年に亡くなってから、初めてのオペレーティングシステムに対する大がかりな見直しとして強く期待されていたiOS 7は、セキュリティ上の大きな失敗もあり、Appleにとって残念な結果となりました。

追記:この不具合を修正するソフトウェアアップデート、iOS 7.0.2が日本時間9月27日にリリースされました。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?