マイキー・キャンベル
· 1分で読めます
新たに発見されたSiriの検索処理のバグにより、悪意のあるユーザーがiPhone 6sおよび6s Plusのパスコードで保護されたロック画面を回避し、連絡先や写真データに簡単にアクセスできる可能性があります。ただし、この脆弱性は一部のデバイスにのみ適用される可能性があります。
昨年9月に同様のロック画面の脆弱性を発見したホセ・ロドリゲス氏によって発見されたこのセキュリティホールは、特定のシナリオでのみ有効となるようです。概念実証ビデオで紹介され、AppleInsiderによって確認されたように、この脆弱性は、Twitter、連絡先、写真のSiriアプリ検索統合を有効にするように設定されたiPhone 6sおよび6s Plus端末に当てはまります。
提供されている例では、ユーザー(または悪意のあるエージェント)がホームボタンの長押し、またはiPhoneの「Hey Siri」機能でSiriを起動し、仮想アシスタントにTwitter検索を依頼します。検索結果にメールアドレスなどの連絡先データが含まれている場合、3D Touchジェスチャーを使用してコンテキストメニューを表示し、メールを送信したり、連絡先情報を追加または変更したりできます。
3D Touch クイックアクション メニューから、「既存の連絡先に追加」をタップすると、iPhone の連絡先リストが開き、設定されている場合、デバイスの写真にアクセスできるようになります。
ロドリゲス氏はAppleInsiderに対し、3Dタッチの抜け穴はWhatsAppの友達リスト検索におけるSiriの結果にも当てはまると語った。
このセキュリティ上の欠陥をうまく利用するには、いくつか注意点があります。具体的には、デバイス所有者がSiri検索を実行するか、設定でサービス権限を手動で設定することで、SiriにTwitterアカウント、写真ライブラリ、または関連アプリへのアクセスを許可しておく必要があります。ユーザーが最初にSiriにTwitter検索を依頼すると、Siriはデバイス設定でインデックスされているデバイスのTwitterアカウントへのアクセス許可を求めます。所有権を確認するため、SiriはパスコードまたはTouch IDによるアカウント所有者の確認を求めます。
潜在的な侵入を懸念する方は、「設定」>「Twitter」でSiriをオフにすることで、SiriのTwitter連携を無効にすることができます。「設定」>「プライバシー」>「写真」でも同じ操作を行うと、SiriによるiPhoneの写真ライブラリへのアクセスが遮断されます。あるいは、Siri自体を完全に無効にすることも可能です。
この回避策は、Apple の最新の iOS 9.3.1 アップデートで有効になっています。
