Oligur

• ニュース

CanSecWest のたびに、Mac や iPhone は私たちが楽観的に信じていたほど安全ではないという新たな証拠が出てくるが、この有名なセキュリティ カンファレンスの Pwn2Own ハッキング コンテストで明らかになった最新のハッキングは、すべての人を警戒させるのに十分であるはずだ。2 人のヨーロッパの研究者が、Web サイトにアクセスするだけで、完全にパッチを適用した iPhone が侵害され、SMS データベース全体が乗っ取られる可能性があることを明らかにした。

2人の研究者、ヴィンチェンツォ・イオッツォ氏とラルフ・フィリップ・ウェインマン氏は、標的のiPhoneを悪意のあるWebサイトに誘導し、わずか20秒でiPhoneのSMSデータベース全体（削除されたテキストメッセージを含む）を盗みました。

「基本的に、ユーザーが当社の[不正に改ざんされた]サイト上で訪問するすべてのページは、SMSデータベースを取得し、当社が管理するサーバーにアップロードします」とウェインマン氏は述べた。

これはかなり深刻なセキュリティ上の欠陥であり、犯人のハッカーによると、これはすべてiPhoneのサンドボックス内で、デバイスの非ルートユーザーである「モバイル」を利用して行われているとのことだ。「この脆弱性を悪用すれば、「モバイル」でできることは何でもできる」とウェインマン氏は語った。

では、「モバイル」は具体的に何ができるのでしょうか？ 実は、かなり多くのことが可能です。同じ手法で、ユーザーの電話帳、メールデータベース全体、保存されている写真、さらにはiTunesファイルまで盗み出すことができます。

「Appleはかなり優れた対策を講じていますが、明らかに不十分です。コード署名の実装方法が甘すぎるのです」と、セキュリティ専門家のハルバー・フレーク氏は述べた。

これをすぐに目にすることになるだろうと心配する必要はありません。CanSecWest の通常の倫理的制約に従って、Iozzo 氏と Weinmann 氏は、Apple 社がパッチをリリースするまで、ハッキングを正確にどのように実行したかを公表しません。そして、その苦労の甲斐なく、15,000 ドルの小切手と、乗っ取った不正アクセスされた iPhone を持ち去りました。