Sponsored Contents

Securityの最新記事

Image credit:
Save

「消した写真」をiPhoneから取出すことに成功。脆弱性発見のハッカー2人組が賞金獲得

まだパッチは出ていません

Munenori Taniguchi, @mu_taniguchi
2018年11月16日, 午後04:30 in Security
243シェア
49
118
0
76

連載

注目記事

4年ぶりの新生Mac mini レビュー。10万円以下で買えるCore i3モデルの実力は?

4年ぶりの新生Mac mini レビュー。10万円以下で買えるCore i3モデルの実力は?

Brother Hawk, 12月10日
View
数あるスマートフォンのなかでも、カメラは最も日常的に使われる機能のひとつです。Instagramを始めとしたSNSの普及はさらにカメラの利用を促進し、事あるごとに目の前のものを撮影する人も見受けられます。カメラロールのなかには「絶対に誰にも見せられない写真」などもあったりするはずです。

もし、その誰にも見せられない写真を "削除したあとでも" 誰かに覗き見られることがあるとしたら、あなたはどう思うでしょうか?11月13~14日に東京で開催されたイベントMobile Pwn2Own Tokyo 2018では、iPhone Xから消したはずの写真を、外部からのハッキングで取り出すことに成功したハッカー2人組が現れました。


世界中のセキュリティの専門家が東京に集うPacSecセキュリティカンファレンスの一環として開催されたMobile Pwn2Ownイベントはスマートフォンのハッキングをテーマとしています。

数々のハッカーチームが参加し、11種類のスマートフォンをテーマ別にハッキングするというこのイベントで、Richard ZhuとAmat CamaによるFluoroacetateチームは、細工をしたWifiアクセスポイントを経由してiOS 12.1を実行するiPhone XのSafariブラウザーにアクセスし、JITコンパイラーの脆弱性を突いて侵入に成功しました。

そして、iPhone Xのシステム内を検索して、持ち主がすでに削除したと思っていた写真を、外部へと取り出しました。なぜ消したはずの写真を取り出すことができたのかは、iPhoneのシステムに詳しい人ならおわかりの通り。

iPhoneでは、アルバムから写真を削除、つまりゴミ箱に入れた場合でも、30日間はシステム内に留めるようになっています。これは必要な写真を誤って削除してしまったり、後で気が変わった場合のため。したがって削除した写真は、アルバム内の"最近削除した項目"を見れば、本当に消去するまでの残日数とともに確認できます。

逆に言えば、Fluoroacetateチームの手法ではJITコンパイラーが処理のためにアクセスする、その他のファイルにもアクセスできただろうと考えられます。Fluoroacetateチームは、このハッキングで賞金5万ドル(約567万円)を獲得、さらにその他のスマートフォンや課題でも多数のハッキングを成功させ、2日間で合計32万5000ドル(約3700万円)を荒稼ぎしました。

Forbesによると、今回Fluoroacetateチームが突いた脆弱性はアップルに報告されたものの、まだパッチは提供されていないとのこと。とりあえずiPhoneユーザーの方々には、他人に見られて困る写真は削除したあと、アルバム内の"最近削除した項目"からも消しておくことをおすすめします。


243シェア
49
118
0
76

Sponsored Contents