AppleInsiderスタッフ
· 1分で読めます
最新の iOS 7.1.1 アップデートを含む Apple の iOS プラットフォームの最近のリリースには、デバイスに保存された電子メールの添付ファイルが暗号化によって適切に保護されないバグが含まれており、修正が間もなく行われると思われます。
セキュリティ研究者のアンドレアス・カーツ氏は先月、Appleにこの脆弱性を報告したことを明らかにした。Appleはこの問題を認識していると回答した。現在までこの問題は修正されておらず、Appleは修正時期について明確なスケジュールを示していない。
この問題に関するアップルの声明では、「当社はこの問題を認識しており、修正に取り組んでおり、今後のソフトウェアアップデートで提供する予定です」とだけ述べられている。
カーツ氏はiPhone 4を使用し、iOS 7.1とiOS 7.1.1の両方でデバイスのファイルシステムにアクセスした後、添付ファイルが暗号化や制限なしに読み取れることを検証しました。その後、同じ脆弱性がiPhone 5sとiOS 7.0.4を搭載したiPad 2でも発見されました。この脆弱性は先週、ZDNetで取り上げられました。
Appleは、ハードウェア暗号化機能を搭載したデバイス(iPhone 3GS以降、およびすべてのiPadモデル)を対象に、iOSプラットフォーム上でデータ保護を謳っています。データ暗号化は、iOSデバイスでパスコードロックをオンにすることで有効になります。
脆弱性を悪用するには、物理的なアクセスまたはiPhone 4のみの脱獄が必要
もちろん、このセキュリティ上の欠陥を悪用するには、悪意のあるハッカーがiPhoneに物理的にアクセスしてルートファイルシステムを読み取る必要があります。暗号化されていない添付ファイルにアクセスするには、デバイスを「DFU」モードにしてSSH経由でアクセスする必要があります。この手順を実行するには、悪意のあるユーザーがデバイスのパスコードを入力するか、デバイスのハードウェアジェイルブレイクを実行する必要があります。Appleの最新のiOS 7.1.1リリースは、現在iPhone 4でのみジェイルブレイク可能です。
International Business Timesによると、Apple の最新 iOS 7.1.1 リリースは現在 iPhone 4 でのみ脱獄が可能で、「iPhone 5S や iPad Air などのデバイス上の最新バージョンの iOS 用の脱獄が開発されていないため、iOS 7.1 以降を実行している新しい iOS デバイスの所有者は依然として運が悪い」とのことです。
今月初め、iOS と OS X の両方で別の SSL セキュリティ欠陥が発見されました。Apple は、両プラットフォームのその後のアップデートでこの問題を迅速に修正するよう取り組みました。
