Oligur

• ニュース

Macのハッキングに関して言えば、チャーリー・ミラーほど危険なセキュリティ専門家はほとんどいません。彼はMacをわずか数秒でハッキングできます。幸いなことに、ミラーはハッキング能力を善のためにのみ使用しているため、彼のハッキングは多くの場合、私たち人間にとってより安全なシステムの構築につながります。

ミラー氏がiOSプラットフォームで特定した最新の脆弱性も、まさにその通りであることを願うばかりです。彼はiOSに重大なバグを発見しました。このバグにより、悪意のある開発者はApp Storeの審査をすり抜けるような一見無害なアプリを作成し、リモートコンピュータに通信してiOSの通常の機能をすべて悪用することが可能になります。

ミラー氏は「Instastock」というアプリで、このハッキングのコンセプトを実証しました。Instastockは一見ただの株価表示アプリのように見えますが、実際にはセントルイスにあるミラー氏の自宅に電話をかけ、そこで新しいコマンドをダウンロードすることで、ユーザーの写真、連絡先、メールを読んだり、電話をバイブレーションさせたり、着信音を鳴らしたりすることが可能でした。Appleは一体何の疑問も抱かずに、このアプリの配信を承認したのでしょうか？

なぜAppleはApp Storeの審査プロセスでこの不正行為を見逃したのか？答えは簡単だ。この不正行為を実行するコマンドは、インストールされたiPhoneからミラー氏の自宅のパソコンにダイヤルインする前までは、ソフトウェア内には実際には存在していなかった。自宅にダイヤルインした後、通常であればAppleの取り締まり措置を発動するはずのコマンドをすべてダウンロードしたのだ。

これはどのように機能するのでしょうか？iOSブラウザの速度向上のため、Appleはインターネット上のJavaScriptコードをiOS 4.3以前よりもはるかに深いレベルでシステムメモリ内で実行することを許可しています。この速度向上により、ブラウザがデバイスのメモリ領域で承認されていないコードを実行できる例外が事実上作成されます。ミラー氏のハックは、この例外をアプリに渡すだけです。

ミラー氏は、来週台湾で開催されるSysCanカンファレンスで、Instastockアプリとバグを披露する予定です。おそらくAppleはこのバグを迅速に修正するでしょうが、今のところAppleはコメントを発表していません。ミラー氏のハッキングに関する詳細はこちらでご覧いただけます。