iPhoneのブラウザに脆弱性、ページを開いただけで SMSやメールを漏洩
1 :名無しさん@お腹いっぱい。:2010/03/26(金) 00:52:16 ID:kqH8Z74F
セキュリティカンファレンス CanSecWest の恒例企画 PWN2OWNで、iPhone のSafari ブラウザにSMSなど
個人情報データへのアクセスを許す脆弱性があることが発表されました。発見者は ルクセンブルク大の
ポスドク研究者 Ralf-Philipp Weinmann 氏、セキュリティ企業 Zynamics所属の研究者 Vincenzo Iozzo 氏。
PWN2OWNはセキュリティ企業 TippingPoint が主催する侵入コンテストで、各デスクトップOSでの
ウェブブラウザや携帯電話を対象に、まだ知られていない脆弱性を利用したファイル取得やリモートからの
コード実行などハックを競うもの。
Weinmann ・ Iozzo 両氏は exploit コードを埋め込んだページを Safariブラウザから開くだけで、
約20秒でiPhoneのSMSデータベース(送信・受信・削除済みメッセージ)をサーバ側にアップロードする手法を
実演し賞金を獲得しました。実演されたコードではSMSデータベースを盗んだあとブラウザがクラッシュしていますが、
原理的にはブラウザを開いたままでユーザーから気付かれることなく、SMSに留まらずメールや電話帳、
写真ファイル、iTunesメディアファイルなどを盗み取ることが可能とされています。
http://japanese.engadget.com/2010/03/25/iphone-sms/
個人情報データへのアクセスを許す脆弱性があることが発表されました。発見者は ルクセンブルク大の
ポスドク研究者 Ralf-Philipp Weinmann 氏、セキュリティ企業 Zynamics所属の研究者 Vincenzo Iozzo 氏。
PWN2OWNはセキュリティ企業 TippingPoint が主催する侵入コンテストで、各デスクトップOSでの
ウェブブラウザや携帯電話を対象に、まだ知られていない脆弱性を利用したファイル取得やリモートからの
コード実行などハックを競うもの。
Weinmann ・ Iozzo 両氏は exploit コードを埋め込んだページを Safariブラウザから開くだけで、
約20秒でiPhoneのSMSデータベース(送信・受信・削除済みメッセージ)をサーバ側にアップロードする手法を
実演し賞金を獲得しました。実演されたコードではSMSデータベースを盗んだあとブラウザがクラッシュしていますが、
原理的にはブラウザを開いたままでユーザーから気付かれることなく、SMSに留まらずメールや電話帳、
写真ファイル、iTunesメディアファイルなどを盗み取ることが可能とされています。
http://japanese.engadget.com/2010/03/25/iphone-sms/