- ニュース
写真:Apple
セキュリティ研究者らは、ハッカーがiPhoneやiPadを制御できる可能性のあるiMessageの新たな欠陥を発見した。
Appleはすでに同様のバグを5件修正していますが、iOSの最新バージョンには依然としていくつかが残っています。これらの脆弱性が特に懸念されるのは、潜在的な攻撃にユーザーからの入力が不要である点です。
研究者たちはこれを「インタラクションレス」バグと呼んでいます。ハッカーはこれを悪用することで、ユーザーに悪意のあるウェブサイトにアクセスさせたり危険なファイルを開かせたりすることなく、攻撃を実行することができます。
5月にWhatsAppで発見されたインタラクション不要のバグにより、スパイは電話をかけるだけで、たとえユーザーが応答しなくても、ユーザーのスマートフォンにアクセスできるようになった。
今回、Google Project Zeroの研究者であるナタリー・シルバノビッチ氏とサミュエル・グロス氏によって、iMessageに同様の欠陥が発見された。
iMessage攻撃者にご注意ください
「これらは、コードを実行するようなバグに変えられ、最終的にはデータにアクセスするなど、兵器として利用される可能性があります」とシルバノビッチ氏はWiredに語った。
「したがって、最悪のシナリオは、これらのバグがユーザーに害を及ぼすために利用されることです。」
攻撃者は、特別に細工したテキストメッセージを iPhone または iPad のユーザーに送信してこれらのバグを悪用し、Apple の iMessage サーバーが特定のデータを返信するようにすることができます。
そのデータには、ユーザーの iMessage 履歴全体や写真、ビデオが含まれる可能性があります。
その他の攻撃では、悪意のあるコードを被害者のデバイス上で実行し、攻撃者がデバイスを完全に制御できるようになる可能性があります。
攻撃はほとんど検知不可能であり、ユーザーは受信メッセージを開いて攻撃を開始する必要さえありません。
iOS ではそれを防ぐことはできないのでしょうか?
iOSは、個人データを厳重に保護する強力な保護機能を備えた、最も安全なモバイルプラットフォームとして知られています。そのため、このような攻撃を防ぐための対策はすでに講じられていると思われるかもしれません。
しかし、インタラクションを必要としないバグを悪用する攻撃は、システムの基盤となるロジックを悪用することで行われるとWiredは解説しています。そのため、iOSはそれらを正当かつ意図されたインタラクションとして認識します。
これらのバグは、被害者のデバイスを攻撃することを非常に容易にし、大きな利益をもたらすため、エクスプロイトベンダーや国家レベルのハッカーの間でますます人気が高まっています。
iMessageには無数の欠陥がある
シルバノビッチ氏はこれまでにiMessageにおけるインタラクションを伴わないバグを6件発見しており、今後さらに追加される予定だ。これらのバグは修正が比較的容易であるものの、完全に排除するのは困難だ。
「個々のバグを修正するのは比較的簡単ですが、ソフトウェア内のすべてのバグを見つけることは不可能であり、使用するすべてのライブラリが攻撃対象になります」とシルバノビッチ氏は説明します。
「ですから、その設計上の問題を解決するのは比較的難しいのです。」
シルバノビッチ氏は、iMessage のセキュリティは全体的に強力であり、欠陥のある唯一のメッセージング プラットフォームではないため、今すぐに使用をやめるべきではないと指摘しています。
![Underwater Audioのマジックコーティングのおかげで、iPodを装着したまま泳いでも安全です[レビュー]](https://image.oligur.com/poclnokl/57/7b/P1040789.webp)
![このMacアプリを使えば、AirPrintを使わずにiPhoneやiPadから印刷できます[iOSのヒント]](https://image.oligur.com/poclnokl/17/71/Screen-Shot-2012-07-23-at-8.36.21-PM.webp)
