Oligur

• ニュース

Apple は iOS 7 と OS X の厄介な goto fail バグのパッチを終えたばかりだが、iOS に新たな脆弱性が発見され、キー入力を含むすべてのタッチに攻撃者がアクセスできるようになったという報告がある。

FireEye が発見した新しい脆弱性は、iOS バージョン 7.0.4、7.0.5、7.0.6 を実行している非ジェイルブレイクの iPhone および iPad、および 6.1.x を実行しているデバイスで発生します。

FireEyeは、このバグについてAppleと協力し、ユーザーのタッチイベントをバックグラウンドで記録する概念実証監視アプリを開発したと述べています。この脆弱性は、iOSがバックグラウンドでアプリを実行するために提供するリソースを利用して、ユーザーに検知されることなく画面、ホームボタン、音量ボタン、Touch IDの押下を記録します。

監視アプリは、どのキーを押しているかを正確に知ることはできませんが、各タッチの X 座標と Y 座標を記録します。しかし、その情報はキーストロークの解読に簡単に使用できます。

攻撃者は、被害者をフィッシングサイトに誘導して悪意のあるアプリをインストールさせたり、アプリの別のリモート脆弱性を悪用してバックグラウンドで監視したりすることで、この脆弱性を悪用する可能性があります。

このバグの修正は保留中ですが、当面の間、セキュリティ上の欠陥を回避するために iOS ユーザーが取れる唯一の行動は、望ましくない監視を防ぐためにバックグラウンドで実行中のアプリを終了することです。

出典: FireEye

出典: ArsTechnica