AppleInsiderスタッフ
· 1分で読めます
Appleは火曜日、最近発見されたiOSのバグに関する顧客の懸念を和らげ、Siriと3D Touchを悪用してユーザーの連絡先や写真に不正アクセスする脆弱性が修正されたと発表しました。しかし、このサーバー側でのSiriのアップデートにより、Twitterの検索にはパスコードまたはTouch ID認証が必要となりました。
ワシントン・ポスト紙への声明の中で、匿名のApple担当者は本日早朝、修正プログラムがインストールされたことを確認し、この解決策ではシステムソフトウェアのアップデートは不要だと述べた。提供されたわずかな情報から、この脆弱性はApple側で修正されたと推測されており、おそらくSiriの検索処理権限の調整が行われたものと思われる。
AppleInsiderは、このパッチが実際に適用されたことを確認しました。SiriはTwitter検索を実行する前にパスコードまたはTouch ID認証を要求します。AppleはSiriの最適化を優先し、関連するデバイス上の3D Touchクイックアクションの脆弱性を修正しなかったため、新しい検索認証要件は他の連携アプリにも適用される可能性があります。
このパッチは、ロック画面を悪用する新たな脆弱性を詳細に説明した概念実証動画がYouTubeに投稿されてからわずか1日後に公開されました。この例のシナリオでは、まず悪意のあるユーザーがSiriにTwitterでメールアドレスを含む既知のツイートを検索するよう指示し、iPhoneのデータ検出機能が起動します。表示されたリンク上で3D Touchジェスチャーを実行すると、連絡先にアクセスでき、そこからユーザーの写真ライブラリにアクセスできるようになります。
Appleが将来のiOSポイントリリースでより洗練された修正を組み込むかどうかは不明ですが、現在の解決策はSiriのユーザーエクスペリエンスに不必要な複雑さを追加しています。また、ハンズフリー機能「Hey Siri」を使ってTwitterを検索したり、場合によっては他のアプリを検索したりすることもできなくなります。
![「Appleでサインイン」を標的としたBlixの反トラスト訴訟が棄却される [u]](https://image.tslro.com/imggkole/ff/55/william_gallagher.webp)
