iOS9.3.5配信！URLクリックで情報を盗まれる標的型攻撃への脆弱性に対処！

 
日本時間8月26日未明、AppleはiOS9.3.5を公開しました。標的型攻撃によって、通信・通話のほかiPhoneに保存された各種情報が盗み取られる、重大な脆弱性に対応したアップデートとなっています。

URLをクリックしただけで通話・通信・端末内情報が盗まれる脆弱性に対処

iOS9.3.5で修復された脆弱性は、攻撃者から送り付けられたSMSに含まれたURLをクリックすることで、ユーザーの知らないうちにiPhoneなどのiOSデバイスが「使用制限の解放」状態になり、マルウェアが仕込まれるというものです。
 

 
マルウェアは、電話やFaceTimeの通話、各種メッセージアプリの送受信内容、Facebookアプリに保存されたアカウント情報などのほか、写真、各種ファイル、ブラウザの閲覧履歴、連絡先、さらにはGPSによる位置情報など、端末内に保存されたあらゆる情報を攻撃者に送信します。

「現時点では」一般ユーザーが標的にされた可能性は低いが「明日は我が身」

セキュリティの専門家集団であるCitizen LabとLookoutがこの脆弱性を現地時間8月15日にAppleに通知し、10日間で修正版が公開されることとなりました。
 
攻撃の内容は非常に危険で、深刻なものですが、Lookoutは、攻撃が特定の対象を狙ったものであることから、「現時点では、一般ユーザーの大多数は攻撃の対象とはなっていないとみられる」、との見解を示しています。一方で、「反政府活動家などは既に攻撃の対象とされている可能性があり、一般のユーザーも明日は我が身、と考えたほうがいい」と警鐘を鳴らしています。
 
なお、既に配信されているiOS10のベータ版ではこの脆弱性には対処済みです。
 
iOS9.3.5は、iOS9シリーズで最後になると考えられていたiOS9.3.4が日本時間8月5日に公開されてから20日間での配信となりました。
 
 
Source:Apple Insider
(hato)