iOS版「Safari」にセキュリティ脆弱性--悪質サイトに誘導されるおそれ

　「iOS 5」ユーザーは、ユーザーをだまして悪質なウェブサイトを訪れるように仕向ける「Safari」のセキュリティ脆弱性に気をつけた方がいい。

　ドイツのセキュリティ企業MajorSecurityが3月に発見したこの脆弱性を悪用すると、サイバー犯罪者がブラウザに表示されるURLを偽装して、ユーザーを悪質なサイトに誘導することが可能だ。

　MajorSecurityのDavid Vieira-Kurz氏は、「この脆弱性は、Javascriptのwindow.open()メソッド使用時のURL処理のエラーによって引き起こされる。これを悪用すると、ユーザーをだまして、機密情報を悪意あるウェブサイトに送信させることが可能になるおそれがある。なぜなら、アドレスバーに表示される情報はある方法で構築することが可能で、それによって、ユーザーは実際に表示されるウェブサイトとは別のサイトを訪問していると信じてしまう可能性があるからだ」と説明した。

　「iOS 5.0」で最初に発見されたこのセキュリティホールは、「iOS 5.1」でも再現した。MajorSecurityは、iOS 5.1を実行する「iPhone 4」「iPhone 4S」「iPad 2」「iPad 3」でこの脆弱性を確認した。

　Appleは米国時間3月3日、このバグについてMajorSecurityから連絡を受けたが、その情報は20日まで公開されなかった。米CNETはAppleにコメントを求めたが、すぐに回答を得ることはできなかった。しかし、MajorSecurityはユーザーに対し、パッチが公開され次第、iOSの新バージョンにアップグレードするよう勧めている。

　Appleはこの問題の存在を認めているので、次のiOSアップデートでフィックスを提供できるはずだ、とThe Next Webは述べている。ただし、現在のところ、モバイルSafariユーザーは自分が信頼していないリンクを開かず、個人情報を求めるあらゆるサイトに警戒するようにという、お決まりのアドバイスに従うべきだ。

　好奇心の強いiOS 5ユーザーは、MajorSecurityが説明した以下の手順を踏むことで、このバグを再現することが可能だ。

1. 端末で、http://majorsecurity.net/html5/ios51-demo.htmlにアクセスする。
2. 画面左上の「Demo」ボタンをクリックする。
3. 予想どおりのコンテンツをすべて含むAppleのウェブサイトURLを表示する新しいページが開かれる。そのため、ユーザーはAppleのサイト上にいると信じてしまう。しかし実際のところ、そのページはこの段階でもMajorSecurityのドメインにホストされている。