オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

これはヤバイ!iPhoneのパスワードを無効にするバグ「やってみたら」簡単に丸見えだった

»

私はiPhoneを電話として利用していません。メールなどのネット通信、音楽、アプリなどに使っています。今回のバグは、電話系に影響が出るようです。

  「iPhoneパスワード保護」を無効にするバグWIRED VISIONより    

    iPhone上でパスワードで保護されるスクリーンロックを、他人が簡単に解除できるというセキュリティ脆弱性が発見された。        

    以下の動画で、ブラジル在住のユーザーがデモを行なっている。「緊急コール」ボタンなどを数回押すという手順で、アドレス帳やボイスメール、会話履歴などにアクセスできるようになる(われわれはiOS4.1/iPhone 4でこのことを確認した)。

とりあえず、どの程度なのかを試してみました。「これがバグ?」・・・簡単に再現できてしまいました。

   

    Soluc,a~o para falha de seguranc,a no iOS from Saloma~o Filho on Vimeo.

これを試すとどうなるのかは、わかりませんし、保証できるものではありません。やってみたら、こうなったと警告の意味も含めて書いてます。自分のでも、他人のiPhoneでも試すのも「すべて自己責任」です。

しかし!セキュリティ色の血が騒ぐ私としは、人柱として(興味からw)やってみたら「3分クッキング」ならぬ「3秒クラッキング」になってしまったのでした。

電話をほとんど利用しない私のiPhoneですら、電話メニューが出てきますって当たり前か。

「よく使う項目・履歴・連絡先・キーパッド・留守番電話」の下メニューです。もちろん各項目は普通に動きました。履歴も出ますし、連絡先も出ます。メールアドレスの一部をiPhoneに入れていたのが見えました。←私の場合

連絡先にある「連絡先を送信」もできました。こんなことができることを今回初めて知ったのです(笑) それほど使ってないってことでしょうか。

この「連絡先を送信」時に、いつも使っているメールアドレスの一部を入力しただけで、お約束の候補が出てきました。ここは通常の動作と何ら変わりありません。

それ以上のことは出来ないようで、丸ボタンを押すとロック画面に戻ります。が、連絡先や電話帳がこんなに簡単に見れてしまうのは、もちろん問題。

漏洩対策や不正調査をしてますが、ほとんどは「メールや電話」系のものから多くのものが繋がってきます。それだけ利用度が高いからでしょう。

アップルの修正パッチが提供されるまで、落とさないようにしたいと強く思いました。常にセキュリティは意識しましょう!

Comment(0)