Jailbreak(脱獄)ツールと iOS の脆弱性
「Jailbreak(脱獄)」とは、iPhoneの世紀アプリを販売するApp Store以外で販売または配布されているアプリケーションを使えるようにするため、iPhoneをはじめ、iOSが搭載されている iPad や iPod Touchを改造する行為のことです。
米著作権局は、2010年(平成22年)7月26日、「iPhoneの『Jailbreak』は合法である」という決定を下しました。
米著作権局は、2010年(平成22年)7月26日、「iPhoneの『Jailbreak』は合法である」という決定を下しました。
インターネット上で公開されているJailbreakツールの一種「JailbreakMe 2.0」は、iOSの2種類の脆弱性を利用して「脱獄」を可能にすることが明らかになっています。
1つ目の脆弱性は、iOS上のブラウザSafariでPDFファイルを閲覧する際に生じる脆弱性です。特別に細工されたフォントが埋め込まれたPDFファイルを閲覧すると、任意のコードが実行される恐れがあります。
2つ目の脆弱性は、iOS搭載の端末に侵入した攻撃者の特権を昇格させるために悪用されるものですが、いまのところ詳細は明らかになっていません。
1つ目の脆弱性は、iOS上のブラウザSafariでPDFファイルを閲覧する際に生じる脆弱性です。特別に細工されたフォントが埋め込まれたPDFファイルを閲覧すると、任意のコードが実行される恐れがあります。
2つ目の脆弱性は、iOS搭載の端末に侵入した攻撃者の特権を昇格させるために悪用されるものですが、いまのところ詳細は明らかになっていません。
連絡先の情報を送信
2012年(平成24年)2月、iPhoneやiPadなどのiOSアプリの一部が、ユーザーから許可を得ずに「連絡先」に登録された個人情報データにアクセスできることが明らかになりました。TwitterやFacebookなどの公式アプリも個人情報データにアクセスしていることから、大問題に発展しています。
米Appleは、今後のソフトウェア・アップデートで、ユーザーからの明確な許可がない限り、すべてのアプリが連絡先情報にアクセスできないようにするとしています。
2012年(平成24年)2月時点で、「連絡先」アプリに登録されている情報を取得し、自社のサーバーに転送しているiOSアプリは次の通りです。
米Appleは、今後のソフトウェア・アップデートで、ユーザーからの明確な許可がない限り、すべてのアプリが連絡先情報にアクセスできないようにするとしています。
2012年(平成24年)2月時点で、「連絡先」アプリに登録されている情報を取得し、自社のサーバーに転送しているiOSアプリは次の通りです。
| iOSアプリ | 送信情報 | |
|---|---|---|
| ユーザーへの確認なしにデータを送信していたもの | ||
| Foursquare | メールアドレス、電話番号 但し2月14日リリースのアップデートで「確認」ありに変更 | |
| ユーザーへの確認を経て、データを送信しているもの | ||
| Path | メールアドレスをふくむほぼすべての情報 | |
| メールアドレス、電話番号、氏名 | ||
| メールアドレス、電話番号、氏名 | ||
| Twitter for iOS | メールアドレス、電話番号 | |
| Voxer | メールアドレス、電話番号、氏名 | |
| データ送信の形跡はないものの、連絡先情報を参照する可能性のあるもの | ||
| Google+ | ||
| Find My Friends | ||
| Skype | ||
| Yahoo! Messenger | ||
| Quara | ||
| Textfree | ||
| AIM | ||
無断で個人情報を送信か?
2010年(平成22年)12月18日、米ウォールストリート・ジャーナル紙は、iPhoneなどのスマートフォンで音楽を聴く際などに利用するアプリから、年齢や性別などの個人情報が外部の広告会社に漏れている例があると報じました。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。
アメリカでは、ユーザーによる確認と承諾無しで個人情報を広告ネットワークに送信しているとして、AppleBackflip、Dictionaty.com、Pandora、The Weather ChannelなどとAppleが訴えられたとのことです(Apple May Face More Privacy Lawsuits)。裁判の動向が注目されます。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。
アメリカでは、ユーザーによる確認と承諾無しで個人情報を広告ネットワークに送信しているとして、AppleBackflip、Dictionaty.com、Pandora、The Weather ChannelなどとAppleが訴えられたとのことです(Apple May Face More Privacy Lawsuits)。裁判の動向が注目されます。
セキュリティ企業LACは、PDF閲覧の脆弱性を使い、iPhoneなどをコンピュータウイルスに感染させることが可能であることを確認しました。
悪意のある者がiPhoneやiPadに侵入した場合、勝手に電話を使用され、有料電話などに強制的にかけられて不当な料金を請求されたり、iPhoneやiPadを犯罪に悪用される恐れがあります。
また、iPhoneやiPadに保存されている個人情報(連絡先、通話内容、位置情報、スケジュール、写真など)を盗まれる恐れがあります。
さらに、パスワードやクレジットカード番号などサイトに入力したデータを盗み取られたり、迷惑メール送信の踏み台とされる恐れもあります。
悪意のある者がiPhoneやiPadに侵入した場合、勝手に電話を使用され、有料電話などに強制的にかけられて不当な料金を請求されたり、iPhoneやiPadを犯罪に悪用される恐れがあります。
また、iPhoneやiPadに保存されている個人情報(連絡先、通話内容、位置情報、スケジュール、写真など)を盗まれる恐れがあります。
さらに、パスワードやクレジットカード番号などサイトに入力したデータを盗み取られたり、迷惑メール送信の踏み台とされる恐れもあります。
対策は
- 万一に備えてiTunesでバックアップを取っておきましょう。
- アップル社から iOS 4.0.2 ソフトウェア・アップデート for iPhone が発表されましたので速やかにアップデートしましょう。
- 今後も、アップル社からのバージョンアップや回避策並びに対応策の案内が届いたらその指示に従いアップデートしましょう。
- 関連メディアなどからのセキュリティ情報収集を怠らないようにしてください。
参考サイト
(この項おわり)
サイバー犯罪者は、人気のイベントや話題のトピックを標的としており、iPhoneアプリを提供するAppleは常にサイバー犯罪者の格好の標的になっているためです。