iPhoneでMMSを受信するとパスワード等が盗まれる脆弱性！最新OSで対策を！

 
日本時間19日未明に配信が開始されたiOS9.3.3やOS X 10.11.6は、これまでiPhoneやMacには無縁と思われてきたセキュリティ上の脆弱性に対応したアップデートであることがわかりました。MMSを受信するだけで、パスワードなどを盗まれる可能性があります。

iPhoneやMacでもMMSやSafariで知らないうちに攻撃を受ける脆弱性！

Android端末で不正なリンクをクリックするだけで端末を乗っ取られる「Stagefright」という深刻な脆弱性が昨年、話題となりましたが、同様の脆弱性がiPhoneなどiOS端末やMacにも存在していたことが分かりました。
 
これは、セキュリティサービスCisco TalosのTyler Bohan氏が発見したもので、画像データの処理を行うImageIOと呼ばれる部分のバグが原因となっています。
 
このバグを悪用した攻撃者が、不正なTIFF形式の画像ファイルを仕込んで送り付けたMMSを受信するだけで、攻撃が開始されてしまいます。攻撃を受けたユーザーが気付かないうちに、勝手にプログラムが実行され、端末に保存された各種パスワードが盗まれる危険性があります。
 
攻撃はSafari経由でも行われ、不正なコードの仕込まれたWebページを訪れるだけで、何も操作をしなくても、攻撃を受けてしまいます。

攻撃を受けるとパスワードが盗まれる！

ただし、「使用制限を解放」していない通常の端末であれば、Apple製品にはsandboxというセキュリティ機構があるため、Androidのように端末全体を乗っ取られることはありません。
 
Bohan氏はこの脆弱性を「AndroidのStagefrightと同等のきわめて危険なバグ」と位置付け、「MMSの受信者は攻撃を避けることができない」と、知らないうちに攻撃を受けている可能性に警鐘を鳴らしています。
 
Bohan氏は、同様の脆弱性をMac用のOS X、tvOS、watchOSにも発見しており、特にOS Xではsandboxで防ぐことができないとも注意喚起しています。

iOS9.3.3など最新OSで対処済み！早めにアップデートを！

 
これらの脆弱性には、日本時間19日未明に公開された、iOS9.3.3やOS X 10.11.6、watchOS2.2.2、tvOS9.2.2で対策されており、Appleの公式サイトで、セキュリティアップデートの詳細な内容を読むこともできます。
 
iOS9.3.3のアップデート内容は「不具合およびセキュリティの問題を修正・改善します」と簡潔なもので、目新しい新機能もないことから放置している方も多いかもしれませんが、早めにiOS9.3.3などの最新OSにアップデートすることをお勧めします。

 
 
Source:Forbes, Appleのセキュリティ文書（iOS9.3.3, OS X 10.11.6, Safari, watchOS2.2.2, tvOS9.2.2）
(hato)