マイキー・キャンベル
· 1分で読めます
研究者「pwn2ownd」は月曜日、iOS 12.4をサポートする「unc0ver」脱獄の新バージョンをリリースした。
Appleが最新iOSリリースの重大な脆弱性を誤って修正しなかったことを受けて、ハッカーらは数年ぶりに最新ソフトウェアを搭載したiPhone向けの脱獄ソフトを公開した。
7月にリリースされたAppleのiOS 12.4には、Googleのセキュリティ研究者によって発見され、その後iOS 12.3で修正されたバグが含まれているとMotherboardが報じている。
GoogleのProject Zeroチームと協力して数々のiOSの欠陥を発見したとされるネッド・ウィリアムソン氏は、かつてパッチが適用された脆弱性が現在も利用されていることを確認した。
「どうやらあるユーザーが12.4でジェイルブレイクをテストしたところ、Appleが誤ってパッチを元に戻したことを発見したようだ」とウィリアムソン氏はマザーボードへの声明で述べた。
Appleの今回の事故は、脱獄や悪意のあるコード実行の扉を開くものだと報告書は述べている。セキュリティ研究者のジョナサン・レビン氏は、iOS 12.4が最新版であり、Appleから入手できる唯一のバージョンであるため、iOS 12.3以外のバージョンを搭載した多くのiPhoneとiPadが脆弱であると同誌に語った。レビン氏はさらに、このバグは100日以上前に発見された、つまり100日以上前に発見されたエクスプロイトだと述べた。
Appleのミスに乗じて、研究者「pwn2ownd」は月曜日にiOS 12.4向けの無料脱獄ツール(厳密には進行中のプロジェクト「unc0ver」の新バージョン)をリリースした。その後、複数のiPhoneユーザーからこのソフトウェアが動作したとの報告があった。彼はMotherboardに対し、悪意のある人物がこの不具合を悪用して「完璧なスパイウェア」を作成する可能性があると述べ、「すでに誰かがこのバグを悪用している可能性が非常に高い」と付け加えた。
Pwn2owndは、この脆弱性を悪用してAppleのiOSサンドボックスを回避し、ユーザーの機密情報を収集する悪意のあるアプリの例を示しました。あるいは、悪意のあるウェブページが同じバグとブラウザの脆弱性を組み合わせて同様の効果を達成する可能性もあります。
Appleはこの件に関してまだコメントしていない。
