セキュリティ研究者のアヴィヴ・ラフ氏は、数か月前に初めてApple社に警告したiPhoneの2つのセキュリティ上の脆弱性について公表した。

研究者は、これらのセキュリティ上の欠陥についてブログで公表することにした理由として、Appleにこれらの欠陥を報告して以来、同社が少なくとも3回のiPhoneソフトウェアアップデートをリリースしているにもかかわらず、モバイルシステムにこれらの脆弱性に対するパッチを適用する動きを見せていないことを挙げている。彼は7月にすでにこれらの問題をAppleに報告していた。

脆弱性はメール内に存在します。

メールは自動的に画像をダウンロードします。これらの画像は侵害される可能性があり、ダウンロード時に画像の URL がそのソースと照合され、スパマーが電子メール アドレスを収集できるようになります。 

2 番目の問題は、メールによる URL の処理に関するものです。

「iPhoneのメールアプリは、HTML形式とテキスト形式の両方のメールメッセージを表示できます。メールメッセージがHTML形式の場合、リンクのテキストが実際のリンクとは異なるURLに設定されることがあります。ほとんどのメールクライアント（PC / Macなど）では、リンクにマウスオーバーするだけでツールチップが表示され、クリックしようとしている実際のURLが表示されます」と研究者は説明しています。

iPhoneユーザーがリンクをクリックした場合、リンクの最初の部分しか表示されない可能性があるため、攻撃者は「長いサブドメイン（約24文字）を設定し、途中で切り捨てることで信頼できるドメインのように見えるようにする」ことができます。つまり、短縮リンクがAmazonなどの信頼できるサイトを装う場合、iPhoneユーザーはフィッシング攻撃の危険にさらされることになります。

もちろん、個人情報を渡そうとしているときにリンクをクリックしないことが最善のアドバイスです。そのためには URL を手動で入力し、信頼できない人からの画像を開かないでください。 

これらの問題を公表した経緯について、研究者は次のように述べている。「これらのセキュリティ問題が一刻も早く修正されることを期待し、この投稿の数週間前にAppleに技術的な詳細を開示しました。しかし残念ながら、2ヶ月半が経過した現在も、これらの脆弱性に対する修正プログラムは未だに提供されていません。Appleには修正スケジュールについて何度も問い合わせましたが、彼らは修正日を明かしてくれませんでした。」

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。