ロジャー・フィンガス
· 1分で読めます
Appleは2016年に、ウェブサイトベースのiOSエクスプロイトに対する修正プログラムをリリースしました。このエクスプロイトにより、ハッカーはiPhoneからセンサーデータを収集し、標的のパスコードさえも入手する可能性がありました。研究者らが今週明らかにしました。[Appleによる説明を追加]
英国ニューカッスル大学の研究者らが発表した研究結果によると、ウェブブラウザはほとんどのセンサーデータについて許可を求める必要がなく、特にモーションデータはユーザーがスマートフォンで何をしているかを判断するのに利用できることが示唆されている。分析の結果、4桁の暗証番号を最初の推測で70%の精度で解読でき、5回目には100%の精度に達することができた。
データ収集に必要なマルウェアを実行するために、JavaScript エクスプロイトが使用されました。
ニューカッスル大学によると、AppleやGoogleなどの企業はこの問題について警告を受けており、少なくともAppleのSafariとMozilla Firefoxは「部分的に」修正されているという。しかし同大学は、包括的な解決策については「業界と協力して取り組んでいる」と警告し、プライバシーを懸念する人は、PINやパスワードを定期的に変更し、デバイスを最新の状態に保ち、不要なバックグラウンドアプリを閉じるなどの対策を講じるべきだとしている。
Google はこの問題を認識しているとのことだが、今のところ修正は行われていない。
Appleのソフトウェア修正は、昨年3月にリリースされたiOS 9.3で行われました。このアップデートでは、Night Shiftとセキュアメモ機能が導入され、iMessageのセキュリティホールも解消されました。しかし、この修正自体が問題を引き起こし、アクティベーションロックとWebリンクに問題が発生したため、Appleは早急に修正を余儀なくされました。
更新: Apple はAppleInsiderに連絡し、問題の研究者が iOS 9.3 のセキュリティ ノートに引用されていることを伝えました。
