【林檎】iOSに脆弱性、不正アプリでユーザーの入力内容を監視可能に
1 : ◆9NKSEXw3nU @関電φ ★:
AppleのiPhoneやiPadなどに搭載されているiOS 7に、不正アプリを使ってユーザーの入力内容などを密かに監視できてしまう脆弱性が見つかったとして、セキュリティ企業のFireEyeが2月24日のブログで報告した。
同社はコンセプト実証のため、iOS 7向けの「監視」アプリを作成し、ユーザーによる画面のタッチや、ホームボタンや音量調節ボタンの操作、TouchIDの操作などを全てバックグラウンドで記録する機能を持たせた。
攻撃に利用されればユーザーが入力した内容が全て流出する恐れもあるという。
Appleによる審査をかわして、このアプリを「脱獄(Jailbreak)」させていないiOS 7端末向けに提供できてしまう方法も発見したとしている。
デモ用アプリは、iOS 7.0.4を搭載したiPhone 5sで機能させることに成功。iOS 7.0.5と7.0.6、6.1.xにも同じ脆弱性が存在することを確認したとしている。攻撃にはユーザーをだまして不正なアプリをインストールさせたり、
一部アプリの別の脆弱性を突くなどの手口が考えられるという。
iOS7には「Appのバックグラウンド更新」を設定できる機能があり、ここでバックグラウンド更新が不要なアプリの設定を無効にしておけば、バックグラウンドでの監視は防止できる。
しかしFireEyeによれば、この設定はかわすことが可能で、例えばバックグラウンド更新を有効にしていなくても音楽はバックグラウンドで再生できる。不正なアプリでこの機能を悪用すれば、
音楽アプリを装ってバックグラウンドで監視ができてしまうという。
FireEyeは現時点でリスクを回避するための唯一の対策として、iOSのタスクマネジャーを使ってバックグラウンドで実行されているアプリを停止する方法を紹介している。
ソース:Yahoo
http://headlines.yahoo.co.jp/hl?a=20140226-00000002-zdn_ep-sci
関連スレ
【林檎】「アップルのバグが何か分かったぞ。これはダメだ。実にひどい」SSLが役立たず、iPhoneから個人情報が盗まれる恐れ
http://anago.2ch.net/test/read.cgi/dqnplus/1393240209/
同社はコンセプト実証のため、iOS 7向けの「監視」アプリを作成し、ユーザーによる画面のタッチや、ホームボタンや音量調節ボタンの操作、TouchIDの操作などを全てバックグラウンドで記録する機能を持たせた。
攻撃に利用されればユーザーが入力した内容が全て流出する恐れもあるという。
Appleによる審査をかわして、このアプリを「脱獄(Jailbreak)」させていないiOS 7端末向けに提供できてしまう方法も発見したとしている。
デモ用アプリは、iOS 7.0.4を搭載したiPhone 5sで機能させることに成功。iOS 7.0.5と7.0.6、6.1.xにも同じ脆弱性が存在することを確認したとしている。攻撃にはユーザーをだまして不正なアプリをインストールさせたり、
一部アプリの別の脆弱性を突くなどの手口が考えられるという。
iOS7には「Appのバックグラウンド更新」を設定できる機能があり、ここでバックグラウンド更新が不要なアプリの設定を無効にしておけば、バックグラウンドでの監視は防止できる。
しかしFireEyeによれば、この設定はかわすことが可能で、例えばバックグラウンド更新を有効にしていなくても音楽はバックグラウンドで再生できる。不正なアプリでこの機能を悪用すれば、
音楽アプリを装ってバックグラウンドで監視ができてしまうという。
FireEyeは現時点でリスクを回避するための唯一の対策として、iOSのタスクマネジャーを使ってバックグラウンドで実行されているアプリを停止する方法を紹介している。
ソース:Yahoo
http://headlines.yahoo.co.jp/hl?a=20140226-00000002-zdn_ep-sci
関連スレ
【林檎】「アップルのバグが何か分かったぞ。これはダメだ。実にひどい」SSLが役立たず、iPhoneから個人情報が盗まれる恐れ
http://anago.2ch.net/test/read.cgi/dqnplus/1393240209/
|
|
|
2 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 19:58:35.61 O
今更www
元々スマホはGoogleやアメリカの機関が、世界中の情報を入手する為に作り出したツールだろうと小一時間。
元々スマホはGoogleやアメリカの機関が、世界中の情報を入手する為に作り出したツールだろうと小一時間。
3 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 20:00:24.45 0
セキュリティが高い(大嘘)
4 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 20:02:49.30 0
.
情報セキュリティ=群れの外側の草食動物が食われて、大多数が助かって利益を
得て繁栄すること。
情報セキュリティ=群れの外側の草食動物が食われて、大多数が助かって利益を
得て繁栄すること。
5 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 20:12:50.83 0
そもそもそんなアプリインストールするのが不可能じゃん。
6 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 20:15:54.86 0
うわ、おれのWindowsはきじゃくせいを変換できない脆弱性があるわ
7 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 20:33:18.04 P
ウソだ!
林檎信者はさんざん持ち上げてたじゃないですか!
iOSこそ最高のセキュリティーが保たれてると
林檎信者はさんざん持ち上げてたじゃないですか!
iOSこそ最高のセキュリティーが保たれてると
8 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 20:35:54.71 O
9 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 21:41:22.43 0
俺、5.1.1だから安心♪
10 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 22:10:29.92 0
わざとです
11 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 22:32:09.50 0
まあ普及すれば攻撃は増えるよね
UNIXのウイルスも増えたら楽しいのに
UNIXのウイルスも増えたら楽しいのに
12 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 22:44:48.49 0
それなんてバイドゥ
13 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 23:14:48.16 0
漢字Talkでいいよ。
14 :オレオレ!オレだよ、名無しだよ!!:2014/02/26(水) 23:21:33.00 0
きじゃくせい
15 :オレオレ!オレだよ、名無しだよ!!:2014/02/27(木) 00:45:39.71 P
ウィンドウズやAndroidにこんなのがあるとマカーはiOSにはないからw
みたいなことを言ってるのが数え切れないほどいるけど
これみてどう思った?
みたいなことを言ってるのが数え切れないほどいるけど
これみてどう思った?
16 :オレオレ!オレだよ、名無しだよ!!:2014/02/27(木) 03:14:16.34 0
17 :オレオレ!オレだよ、名無しだよ!!:2014/02/27(木) 03:16:10.19 0
Androidを糞味噌に言ってたけど
いまどんな気持ち?(トントンAAry
いまどんな気持ち?(トントンAAry
18 :オレオレ!オレだよ、名無しだよ!!:2014/02/27(木) 10:15:25.33 0
不正なアプリってたとえばどんな名前のアプリ?
19 :オレオレ!オレだよ、名無しだよ!!:2014/03/06(木) 22:35:02.23 0
ウイルスアプリさえ入れなければ
セキュリティーはAndroidの方が上なのは周知の事実
iOSは致命的な脆弱性が大杉
セキュリティーはAndroidの方が上なのは周知の事実
iOSは致命的な脆弱性が大杉
20 :オレオレ!オレだよ、名無しだよ!!:2014/03/06(木) 23:10:02.78 0