「iPhone」および「iPad」で行うタップ、タッチ、プレス(押す)の全操作は、「iOS」のセキュリティ脆弱性のため、リモートで監視されたり取得されたりする可能性があるという。少なくとも、セキュリティ企業のFireEyeはそう主張している。
FireEyeの研究者らは米国時間2月24日のブログ投稿で、ジェイルブレイクされていない「iOS 7.0.x」搭載デバイス上で「監視」アプリをインストールするテストを実施したと述べた。このアプリはバックグラウンドで動作し、画面のタッチ、ホームボタンのプレス、音量ボタンのプレス、「Touch ID」のプレスを含む、タッチおよびプレスの全イベントを記録できた。FireEyeのチームは調査結果に基づき、攻撃者がこうしたアプリを使用して、リモートでiOSデバイス上のキーストロークや画面のタッチ操作を入手することにより、「狙った相手が入力するすべての文字」を再現できる可能性があると結論づけた。
報道によると、この脆弱性はiPhoneやiPadでバックグランドアプリを実行する手法に内在するという。これらのアプリはデバイス上で行われるすべてのキーストロークやタッチ入力を検知できるからだ。「Appのバックグラウンド更新」設定を無効にするとバックグラウンドでの監視を防止できるが、音楽プログラムを装った悪意あるアプリがこうした監視を行う可能性は残る。
研究者らは「iOS 7.0.4」を搭載するデバイスを使用したが、「iOS 7.0.5」「iOS 7.0.6」「iOS 6.1.x」にも同様の脆弱性が存在すると述べた。
当然ながら、こうした状況になるにはまず最初に、iOSユーザーが何らかの形で、悪意あるアプリがインストールされることを許可しなければならない。Appleは確かに、「App Store」で許可するアプリに厳しい条件を課している。FireEyeは、ジェイルブレイクされていないデバイスにテスト用のアプリをインストールできたが、その方法は説明しなかった。
FireEyeによると、Appleが問題を修復する前にこの脆弱性を回避する唯一の方法は、iOSのタスク管理画面を呼び出して、バックグラウンドで実行中のアプリを手作業で終了させることだという。ホームボタンを2度押しすると、すべてのバックグラウンドアプリが表示される。iOS 7.0.xの場合、バックグラウンドアプリをスワイプすることでそのアプリを終了できる。
FireEyeの研究者らは、この問題でAppleに協力していると述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス