アップルは、iPhone、iPad、一部のiPod touchモデルに影響を及ぼす脆弱性の修正プログラムを開発中であると発表している。この問題は、機密データの盗難に利用される恐れがあるとドイツ政府が警告していた。
これらの脆弱性は、iPhoneなどのデバイスに無許可のアプリケーションをインストールできるようにするフレームワークであるJailbreakMe 3.0の水曜日の新しいリリースによって公表された。
Appleは、App Storeで配信が承認されていないアプリケーションのインストールを禁止しています。しかし、ハッカーはiOSオペレーティングシステムの脆弱性を悪用し、スマートフォンを「ジェイルブレイク」させ、Cydiaなどの代替アプリケーションマーケットから入手した、Appleが審査していないアプリケーションを利用できるようにしています。
ドイツ連邦情報保安庁(BSI)は水曜日、細工されたPDF文書をユーザーが開いた場合に悪用される可能性がある脆弱性に関する警告を発しました。この問題は、iOSがモバイル版Safariブラウザ内でフロントエンドを解析する方法に起因しています。
また、プログラムをメモリにロードする方法を混ぜ合わせ、攻撃者にとってより困難にするセキュリティ機能である ASLR (アドレス空間レイアウトのランダム化) を回避する 2 つ目の脆弱性もあります。
BSIは、攻撃者がこの欠陥を利用すると、パスワードや銀行データ、電子メールを盗むことができるほか、内蔵カメラにアクセスしたり、電話を傍受したり、ユーザーのGPS座標を入手したりすることも可能になると指摘した。
Appleはセキュリティ問題について滅多にコメントしません。しかし木曜日、ロンドンのコーポレートコミュニケーション担当シニアディレクター、アラン・ヘリー氏は声明で、「Appleはセキュリティを非常に重視しており、報告された問題を認識しており、修正プログラムを開発中です。今後のソフトウェアアップデートでお客様に提供いたします」と述べました。
BSIによると、影響を受けるデバイスはiPhone 3GとiOSバージョン4.3.3まで搭載されているデバイスです。また、iOSバージョン4.3.3まで搭載されているiPadとiPod Touchの両モデルも影響を受けるとのことです。
JailbreakMeの背後にいるハッカーの一人、Comexが、この脆弱性を修正する「PDF Patcher 2」を公開しました。これは現在Cydiaアプリストアで入手可能です。この修正プログラムはJailbreakMeをインストールした場合にのみ機能しますが、Appleはこれを推奨していません。
JailbreakMeのウェブサイトの注記には、「Appleがアップデートをリリースするまでは、皮肉なことに、ジェイルブレイクが安全を保つ最善の方法となるだろう」と記されている。
