iPhoneやiPadでどこをタッチしたか・どのボタンを押したかを記録・監視できる脆弱性が判明、悪用したアプリを作成できることも実証済み
By Bassem Tamimi
2014年2月21日リリースの「iOS 7.0.6」でも未修正になっている脆弱性として、「バックグラウンドからユーザーの挙動を監視できる」ことをマルウェアなどの対策ツールを提供するFireEye社が発見、実証できるアプリも作成し、その結果と現時点でできる自衛方法を公開しています。
Background Monitoring on Non-Jailbroken iOS 7 Devices — and a Mitigation | FireEye Blog
http://www.fireeye.com/blog/technical/2014/02/background-monitoring-on-non-jailbroken-ios-7-devices-and-a-mitigation.html
FireEyeの研究者はiOS 7搭載デバイスのモニタリングを可能にする「コンセプト実証アプリ」を作成し、テストを実施しました。アプリは「タッチスクリーン」「ホームボタン」「ボリュームボタン」「TouchID」のタッチやプッシュをバックグラウンドで記録するもので、記録したユーザーの挙動をリモートサーバーへ送信する機能を持っています。
Jailbreak(脱獄)したiOSデバイスではバックグラウンドからの不正監視を可能にする脆弱性が発見されていましたが、このテストによって脱獄していないiOSデバイスでもバックグラウンドからの不正監視が可能であることが実証され、iOS 7.0.4、7.0.5、7.0.6および6.1.xでも同様に監視アプリが動作することを実証。
不要なアプリのバックグラウンドの挙動は、iOS 7の機能「Appのバックグラウンド更新」をオフにすることで防ぐことが可能です。ただし音楽アプリなどはオンオフに関係なく音楽を再生することが可能なため、監視アプリを音楽アプリに偽装させることで設定に関係なく、常に監視し続けることを可能にしてしまう、とのことです。
なお、FireEyeによると、脆弱性を回避するには「タスクマネージャ」が有効であるとのこと。方法はホームボタンを2回押して、不要なアプリを上にスライドして完全に終了させるだけ。最大で3つ同時にスライドすることも可能です。正式に脆弱性が修正されるまでは、不要なアプリの完全終了を習慣づけておけば安全です。
・関連記事
「iPhoneを探す」機能をパスワード入力なしで無効化する重大なバグが発見される - GIGAZINE
iPhone 5sのアプリクラッシュ率はiPhone 5cの倍以上であることが判明 - GIGAZINE
iPhone 5sの傾きセンサーにハードウェア由来の問題が生じていることが発覚 - GIGAZINE
スマートフォンのバッテリーの減りが早い原因はバグだらけのアプリ - GIGAZINE
iPhoneのアプリ通知数を異常操作したりメッセージを匿名表示できる脆弱性をスウェーデンのプログラマーが発見 - GIGAZINE
アクセスするだけで空き領域が勝手にどんどん減っていく「FillDisk.com」 - GIGAZINE
・関連コンテンツ