iPhoneのアプリ通知数を異常操作したりメッセージを匿名表示できる脆弱性をスウェーデンのプログラマーが発見

iPhoneやiPadでは、着信やメールの受信、アプリからのお知らせなどがあると、該当アイコンの右上に赤い通知がお知らせの数とともに表示されるようになっています。通知がたくさんたまると気になってしまうものですが、スウェーデンのプログラマーが、アプリの通知数を異常な数値で表示して消去できなくしたり、好きなメッセージを匿名で表示させたりできるiOSのセキュリティホールを発見したことをTechWorldに報告し、実証しています。

Så enkelt hackar han Iphone - IDG.se
http://www.idg.se/2.1085/1.546628/sa-enkelt-hackar-han-iphone

TechWorldは、スウェーデンのプログラマーRoman Digerberg氏から「iOSに重大なセキュリティホールがあることを発見した」と連絡を受けました。その情報によるとiOSデバイスへ「匿名のメッセージを送信してロック・スクリーン上に表示」させたり、「留守番電話やメッセージ通知の表示数の操作」や「アプリの通知の赤丸を表示させ、取り除けなくする」ことが可能な脆弱性を発見しているとのこと。

Digerberg氏は自分のGPS追跡ツールのためにC#のプログラムを書いていたところ、偶然この動作に気づきました。ユーザーはiPhoneのディスプレイ上でアプリに通知が出ているとタップしてしまうため、「いくつかの企業から技術を買い取りたいという申し出がありました」とDigerberg氏は述べています。

Digerberg氏は脆弱性の実証をTechWorldに申し出て、実際にTechWorldの編集部員のiPhoneのハッキングを実施。その結果、以下のように「250件の新しい留守番電話」と表示させることに成功しました。

トップページを開いても電話アイコンや留守電アイコンに「250」と表示され、この通知は何をしても消えることがなかったとのこと。

編集部員がハッキングに成功している旨を伝えると、Digerberg氏は新たに「TECHWORLDへ、今日の新聞を買え！」という新たなメッセージをロックスクリーン上に表示させました。

さらに、電話アイコンに中に数字の書かれていない赤い通知マークをポップアップさせましたが、この表示もユーザー側の操作で消すことはできませんでした。

また、このように「あなたのお母さんをこの電話から削除するには『削除』をクリックします」といった心臓に悪いメッセージを表示することも可能。

「匿名で好きなメッセージを表示したり、通知の数を操作する」というハッキング行為をユーザー側で回避することはできず、Digerberg氏はユーザーが望まない変更を勝手に行えるこの脆弱性のことを「モンスター」であると話しており、「この不具合が修正されなければ大きな混乱が起こってしまう」と危惧しています。