神ノ手 iPhoneが乗っ取られるリスク、「Gumblar攻撃」の併用で具現化する恐れ

スポンサーサイト

  • --/--/--(--) --:--:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

iPhoneが乗っ取られるリスク、「Gumblar攻撃」の併用で具現化する恐れ

  • 2010/08/15(日) 12:12:12

iPhoneが乗っ取られるリスク

 iPhoneとiPadの脆弱性を悪用すれば、遠隔から情報を盗み見たり、不正操作できたりする。セキュリティ企業が攻撃を再現し、アップデートの重要性を呼び掛けた。
 セキュリティ企業のラックは8月12日、iPhoneとiPadの脆弱性を悪用する攻撃が発生する可能性が高まったとして、米Appleが11日(現地時間)に公開したiOSの更新版の適用を呼び掛けた。脆弱性を悪用する方法をデモで再現し、iPhoneとiPadのリスクについて警鐘を鳴らしている。

 Appleが公開した更新版の「iOS 4.0.2」(iPhone 3G以降と第2世代以降のiPod touchが対象)と「iOS 3.2.2」(iPadが対象)では、Compact Font Format(CFF)データを処理する際のスタックバッファオーバーフロー問題に起因するFreeTypeの脆弱性と、IOSurfaceプロパティを処理する際の整数オーバーフローの脆弱性を解決した。


引用
ITmedia エンタープライズ

JailbreakMe 2.0で「脱獄」する流れ


 2つの脆弱性は、iPhoneやiPadのロックを解除する「脱獄」(Jailbreak)を実行するためのツール「JailbreakMe 2.0」で使用されていたもの。ユーザーがJailbreakMe 2.0から入手したPDF文書を開くと、まずPDF内のシェルコードが実行され、特権が取得される。次にIOSurfaceプロパティ関連の脆弱性を悪用するプログラムがJailbreakMeのWebサイトからダウンロード実行される。これにより、権限が昇格されて管理者権限の利用が可能になり、端末が「脱獄」した状態になる。

 ラックの最高技術責任者の西本逸郎氏は、脆弱性悪用の方法を応用することで、遠隔からiPhoneやiPadを不正操作できるようになると指摘する。攻撃者は、端末に保存されている電話帳やメール、画像などのデータを抜き取ることができるようになる。また、端末にコマンドを送信することで、特定の電話番号に発信したり、Webサイトに接続させたりすることが可能になるという。

以下略

スポンサーサイト

この記事に対するトラックバック

この記事のトラックバックURL

この記事にトラックバックする(FC2ブログユーザー)

この記事に対するコメント

この記事にコメントする 禁止キーワードはhttp

管理者にだけ表示を許可する
  •  | Home.gif | 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。