ロックされた状態のiPhone 6s/6s Plusで連絡先や写真にアクセス可能な脆弱性
2016年4月8日 01:31
headless 曰く、 ロックされた状態のiPhone 6s/6s PlusでSiriを呼び出し、連絡先や写真にアクセス可能となる脆弱性がまた発見された。脆弱性は最新のiOS 9.3.1にも存在するが、悪用には3Dタッチ機能が必要なので、影響を受けるのはiPhone 6s/6s Plusのみとなる(Daily Dot、MacRumors、9to5Mac、Guardian、実証動画)。
端末がロックされた状態から連絡先や写真にアクセスするまでの流れとしては、まずSiriを呼び出してTwitterで任意のメールアドレスを含むツイートを検索する。検索結果が表示されたら有効なメールアドレスを含むツイートを開き、メールアドレス部分を3Dタッチしてコンテキストメニューから連絡先の追加を選べばいい。連絡先の作成画面で写真の追加を選べば、デバイスに保存されたすべての写真を閲覧可能になる。また、既存の連絡先への追加を選んだ場合には、保存されているすべての連絡先を閲覧可能だ。
ロック画面からSiriを使って連絡先や写真を閲覧可能な脆弱性は、iOS 9リリース直後の昨年9月にも発見されているが、今回も前回と同じJose Rodriguez氏が発見したものだ。今回の脆弱性も「設定」の「Touch ID とパスコード」でロック時のSiriへのアクセスを無効化することで悪用を回避できる。
なおAppleはWashington Postに対し、この脆弱性を火曜日(4月5日、現地時刻)の午前中に修正したと伝えたそうだ。多くの場合はソフトウェア更新をユーザーが実行しなくても修正が適用されるという。また、9to5Macによれば、低電力モード時にSiriがNight Shiftをオンにできないバグも修正されているとのことだ。
スラドのコメントを読む | アップルセクション | セキュリティ | バグ | アップル | iOS | iPhone
関連ストーリー: Androidの断片化はセキュリティ上の強みになる? 2016年04月03日 多くのAndroid端末で「Stagefright」脆弱性が残っている 2016年03月29日 iMessageに添付ファイルの暗号化が解読される脆弱性 2016年03月26日 2015年に脆弱性の報告件数が多かった製品は? 2016年01月08日 パスコードロックされたiOS 9で連絡先や写真を閲覧可能なバグ 2015年09月23日