Oligur

• ニュース

Apple の最新のソフトウェア アップデートをまだインストールしていない場合は、今すぐインストールしてください。

iOS、OS X、tvOS、watchOS の以前のバージョンに存在する欠陥により、ハッカーがユーザーの知らないうちに Apple デバイスに保存されているパスワードをリモートで盗むことが可能になりました。

1年前にAndroidで発見された、あの恐ろしいStagefright脆弱性を覚えていますか？ハッカーが悪意のあるMMSメッセージを使うだけで何百万台ものデバイスにアクセスできてしまう脆弱性で、Googleのプラットフォームは特にAppleファンから大きな批判を浴びました。

現在、それらの Apple ファン、そして何百万人もの人々が、非常によく似た問題を抱えています。

Cisco Talosのシニアセキュリティ研究者、タイラー・ボハン氏は、Appleプラットフォームに組み込まれている画像データ処理フレームワーク「ImageIO」に深刻な脆弱性を発見しました。ハッカーはこの脆弱性を悪用し、デバイスにローカルに保存されているパスワードを盗む可能性があります。

これには、Wi-Fi キー、Safari でアクセスした Web サイトのログイン詳細、電子メールのパスワードが含まれます。

「攻撃者は、脆弱性を利用する小さなプログラムであるエクスプロイトを作成し、それをタグ付き画像ファイル形式（TIFF）内のマルチメディアメッセージ（MMS）経由で送信する可能性があります」と フォーブスは説明しています。

「ユーザーは、iPhoneのテキストメッセージツールの通常の許可範囲を超えたコードの書き込みを開始する攻撃を検知する機会がなくなります。」

この欠陥の真に懸念されるのは、デバイスをすぐにアップデートする以外に回避策がないことです。MMSメッセージを受信して​​しまったら、もう手遅れです。攻撃は実行され、それを防ぐ手段は何もありません。

OS X では、攻撃がさらに深刻になる可能性があります。iOS には、ジェイルブレイクによるルートアクセスなしでは悪意のある MMS によるコード実行を防ぐサンドボックス機能がありますが、OS X はよりオープンであるため、攻撃者がマシンを完全に制御できる可能性があります。

ボハン氏はこの脆弱性を「極めて重大なバグであり、その危険性はAndroidのStagefrightに匹敵する」と表現しています。彼は、すべてのユーザーに対し、リスクを回避するためにiOS、OS X、tvOS、watchOSを最新バージョンにアップデートすることを推奨しています。