あれまあ! iPhoneは、その人気と、売れてる台数の膨大さのわりには、これまで発見されたセキュリティの欠陥は少なかったといえる。Appleはセキュリティの面で、とても“いい仕事”をしてますねぇ、とぼくは言いたい。
でも今回発見された欠陥が示すように、世の中に完璧なセキュリティはありえない。
問題の技術的な詳細はこのページに書かれているが、簡単に言うとこういう話だ: iPhoneでは、いろんな設定のためのコンフィギュレーションファイルのインストールを、Safariを使ってオンラインでできる。そのため、大量のiPhoneを使っている企業などは作業を簡単に済ませることができる。かなり前から、そのことは知られていた…牢破りをしたiPhoneでテザリングが容易にできるためにも、この機能が欠かせない。ユーザはインストールをマニュアル(手作業)で確認する。するとiPhoneがソースの出所(でどころ)やその信頼性などの情報をユーザに告げる。ふつうは、出所を信頼できないファイルをユーザがインストールすることはまずない。
でも、いやらしいことに、この欠陥を報告した匿名のハッカーたちによれば、にせのコンフィギュレーションファイルを“信頼できる(Verified, 確認済み)”とユーザに報告できるだけでなく、出所を“Apple Computer”にしてしまえるのだ。だから、もっともらしいWebページのデザインやテキストでユーザをだまし、悪質なアップデートをさせることが十分に可能なのだ。
いちばんありえる被害は、iPhoneのプロキシの設定を変えて、すべてのトラフィックを悪い奴らのサーバにリダイレクトすることだ。あるいはWiFiやメールの設定を破壊して、Safari、Mailなどのネイティブアプリを使えなくするかもしれない。もっとひどい場合は、ユーザがコンフィギュレーションファイルを削除できないようにして、リセットするためにはフルワイプ(full wipe, 完全消去)しかないようにも、してしまえる。
オンラインのコンフィギュレーションを完全に廃止して、いたずらができないようにすれば、いちばんいいけどね。とにかく、自分で新しい設定をリクエストしたおぼえもないのに、上の写真のような画面が突如現れたら、”Install”ボタンを押すのだけは絶対にやめよう。
[出典: ThreatPost]
(翻訳:iwatani(a.k.a. hiwa))
