iPhoneとMacのSafariにカメラが乗っ取られる脆弱性が発見。すでに修正済み

発見者には報奨金が支払い済み

Kiyoshi Tane
Kiyoshi Tane
2020年04月6日, 午後 03:00 in apple
0シェア
FacebookTwitter
Safari
セキュリティ研究者のRyan Pickren氏は、iPhoneやMacのSafariに侵入者がカメラとマイクを乗っ取る脆弱性が存在していたことを明らかにしました。

この脆弱性はアップルが配信した2回のSafariアップデートにより、すでに修正されていると報じられています。元AWS(アマゾンウェブサービス)のセキュリティエンジニアであるPickren氏は、Safariに存在した合計7つのゼロデイ脆弱性を発見したとのこと。そのうち3つを組み合わせてiPhoneのカメラとマイクにアクセスできたと述べています。

Pickren氏は昨年12月にアップルにこれら脆弱性を公開しており、最も深刻な問題は1月28日(Safari 13.0.5)に、残りは3月24日(Safari 13.1)に修正されたとしています。同氏はアップルが昨年から始めたバグ報奨金プログラムにより、7万5000ドルの賞金を受け取ったとのことです。

このバグは、悪意のあるリンクを1つクリックするだけで、攻撃者はカメラとマイクを遠隔操作できるというものです。macOSおよびiOS/iPadOSのSafariでは、アプリやWebサイトがカメラやマイクにアクセスする際はユーザーに許可を求めますが、その設定は保存されます。

そうして既にアクセス許可をクリアしたWebサイトになりすまし、以前与えられた全ての権限を使って写真を撮ったり、マイクから盗聴したり、画面をキャプチャできるというわけです。

もう1人のセキュリティ研究者Sean Wright氏は、誰もがデスクトップやノートPCのWebカメラへの攻撃には注意を払ってきた一方で、モバイルデバイスに重きを置いてこなかったのは驚くべきだと述べています。「ほとんどの場合、人はスマートフォンを携帯している可能性がはるかに高い」のだから、それを攻撃者が盗聴するために利用する危険も極めて高いと警鐘を鳴らしています。

米Forbesの問い合わせに対して、アップルは記事執筆時点ではノーコメントだったとのことです。こうした危険な脆弱性が、公表されないうちに水面下で粛々と修正されているのかもしれません。
 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: apple, bug, bugbounty, BugFixes, ios, ipados, macos, security, zeroday
0シェア
FacebookTwitter

Sponsored Contents