とてもいやらしくて厄介なセキュリティの欠陥がiPhoneに見つかった

次の記事

Twitter版「プロジェクト・メイヘム」のジレンマ ~ フォロワー数のオールクリアの可能性は?

あれまあ! iPhoneは、その人気と、売れてる台数の膨大さのわりには、これまで発見されたセキュリティの欠陥は少なかったといえる。Appleはセキュリティの面で、とても“いい仕事”をしてますねぇ、とぼくは言いたい。

でも今回発見された欠陥が示すように、世の中に完璧なセキュリティはありえない。

問題の技術的な詳細はこのページに書かれているが、簡単に言うとこういう話だ: iPhoneでは、いろんな設定のためのコンフィギュレーションファイルのインストールを、Safariを使ってオンラインでできる。そのため、大量のiPhoneを使っている企業などは作業を簡単に済ませることができる。かなり前から、そのことは知られていた…牢破りをしたiPhoneでテザリングが容易にできるためにも、この機能が欠かせない。ユーザはインストールをマニュアル(手作業)で確認する。するとiPhoneがソースの出所(でどころ)やその信頼性などの情報をユーザに告げる。ふつうは、出所を信頼できないファイルをユーザがインストールすることはまずない。

でも、いやらしいことに、この欠陥を報告した匿名のハッカーたちによれば、にせのコンフィギュレーションファイルを“信頼できる(Verified, 確認済み)”とユーザに報告できるだけでなく、出所を“Apple Computer”にしてしまえるのだ。だから、もっともらしいWebページのデザインやテキストでユーザをだまし、悪質なアップデートをさせることが十分に可能なのだ。

いちばんありえる被害は、iPhoneのプロキシの設定を変えて、すべてのトラフィックを悪い奴らのサーバにリダイレクトすることだ。あるいはWiFiやメールの設定を破壊して、Safari、Mailなどのネイティブアプリを使えなくするかもしれない。もっとひどい場合は、ユーザがコンフィギュレーションファイルを削除できないようにして、リセットするためにはフルワイプ(full wipe, 完全消去)しかないようにも、してしまえる。

オンラインのコンフィギュレーションを完全に廃止して、いたずらができないようにすれば、いちばんいいけどね。とにかく、自分で新しい設定をリクエストしたおぼえもないのに、上の写真のような画面が突如現れたら、”Install”ボタンを押すのだけは絶対にやめよう。

[出典: ThreatPost]

[原文へ]
[米TechCrunch最新記事サムネイル集]

(翻訳:iwatani(a.k.a. hiwa))