

- iOS
- 安全
- パスコード
- ロック画面
- バイパス
iOS 7で新たなロック画面バイパスが発見され、特定の状況下で5秒以内にアクセスが可能に(更新:解決済み)
2014年6月9日午前10時30分(太平洋標準時)
6/30 更新: iOS 7.1.2 で以下の問題が解決されたようです: 機内モード時の電話接続状態の処理に問題がありました。この問題は、機内モード時の状態管理を改善することで解決されました。
iOS 7で、デフォルトの認証方法を省略できる新たなロック画面バイパスが発見されました。このバイパスの驚くべき点は、わずか5秒で実行できることです。iOSのロック画面のセキュリティが侵害されたのは今回が初めてではありませんが、このバイパスが機能するには非常に特殊な条件が必要です。
拡大
拡大
閉じる
- AAPL社
- iOS
- マック
- ハウツー
- OS X
Appleは昨日iOSの重大なSSLバグを修正したが、OS Xは依然として危険にさらされている

更新: Apple は OS X の修正が間もなくリリースされると発表しました。
Appleは昨日、iOS 6とApple TV向けの新ビルドと共にiOSアップデート7.0.6をリリースしました。同社によると、このアップデートには「SSL接続検証の修正」が含まれているとのことです。Appleはこのバグについて具体的な情報を提供していませんでしたが、すぐにHacker Newsのトップでその答えが報じられました。この軽微なセキュリティ修正は、実は重大な欠陥であり、理論上は攻撃者が影響を受けるブラウザとほぼすべてのSSL保護サイト間の通信を傍受できる可能性があることが判明しました。さらに、このバグはAppleがまだセキュリティパッチをリリースしていないOS Xの最新ビルドにも存在しています。
CrowdStrike の研究者はレポートの中でこのバグについて次のように説明しています。
この攻撃を成功させるには、攻撃者が中間者(MitM)ネットワーク接続を行える必要があります。これは、攻撃者が被害者と同じ有線または無線ネットワーク上に存在していれば可能です。iOSおよびOS Xプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL/TLS検証ルーチンをバイパスできます。これにより、攻撃者はお気に入りのウェブメールプロバイダーなどの信頼できるリモートエンドポイントからのアクセスを装い、ユーザーと宛先サーバー間の暗号化トラフィックを完全に傍受し、通信中のデータを改ざんする能力(例えば、システムを制御するためのエクスプロイトを配信するなど)を獲得することが可能になります。
Googleのシニアソフトウェアエンジニアであるアダム・ラングレー氏も、自身のブログImperialVioletでこの欠陥について書き、バグがあるかどうかを確認するためのテストサイトを作成しました(上図)。展開展開閉じる
- AAPL社
- iPad
- iPhone
- アップルニュース
- 安全
Apple、iOS 7.0.6、iOS 6.1.6、Apple TV 6.0.2をリリース、修正も実施

Appleは先月末、中国ユーザー向けのネットワークエラーを修正したiOS 7.0.5をリリースした後、iPhone 3GSと第4世代iPod touch向けにiOS 7.0.6(ビルド11B651)をリリースしました。また、SSL接続検証に関するセキュリティ修正を加えたApple TVバージョン6.0.2もリリースしました。 展開展開閉じる