セキュリティ研究者のAviv Raff氏は米国時間7月23日、「iPhone」版の「Mail」と「Safari」にはURL偽装(スプーフィング)の脆弱性があり、第三者がこれを利用してiPhoneユーザーにフィッシング攻撃を仕掛けることが可能だと報告した。
この脆弱性は、以前から警告されていたものだ。Raff氏をはじめとする数名のセキュリティ研究者は、iPhoneが7月11日に発売される前からiPhoneの脆弱性を発見したことを示唆していたが、「iPhone 2.0」の最終版リリースまで様子を見るつもりだと述べていた。
Raff氏によれば、偽装用のURLを作成することで、攻撃者はMail上で信頼できるサイト(金融機関やソーシャルネットワークのサイトなど)から送られてきたように見えるリンクが作れるという。ユーザーがこのリンクをクリックすると、Safariはこのフィッシングサイトを開いてしまう。この問題に影響を受けるのは、iPhone 1.1.4および2.0のユーザーだ。
Raff氏はAppleに対してすでにこの脆弱性を通知しているが、パッチが提供されるまでは詳細を公表しないと、自身のブログの中で記している。
対策パッチがリリースされるまで、iPhoneユーザーは「信頼できるウェブサイト(銀行、PayPal、ソーシャルネットワークなど)だとするリンクがMailで開いたメールに書かれていても、そのリンクをクリックせずに、SafariでウェブサイトのURLを直接入力してほしい」とRaff氏は警告している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
Google Cloud が提案する、業務最適化と
イノベーションの実現ヒントが盛り沢山!
MSとパートナー企業主催のハッカソンが
企業文化変革のきっかけに
ZDNet×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
AWSやAzureのまさかの高額課金を回避
仮想リソース可視化の詳細