iOS12.1に脆弱性、削除した写真が盗み見られる可能性を専門家が指摘

 
最新版のiOS12.1がインストールされたiPhoneに、削除した写真が盗み見られてしまう脆弱性があることが発見されました。Appleは次のiOSアップデートで対応するとみられます。

削除した写真が盗み見られる脆弱性

発見されたのは、iOS12.1のSafariの脆弱性で、悪意のあるWi-Fiアクセスポイントを経由して、JITコンパイラと呼ばれるプログラムを不正に実行させることで、ユーザーが「削除」した写真ファイルが、攻撃者からアクセス可能になってしまう、というものです。
 
iOSデバイスで写真を削除すると、すぐにファイルが完全に消えるのではなく、「最近削除した項目」に入れられ、30日後に完全に削除されます。
 

 
発見された脆弱性は、「最近削除した項目」に入っているファイルを、攻撃者が盗み出せてしまうというものです。

Android端末にも同様の脆弱性

東京で開催されているセキュリティ専門家向けイベント、Mobile Pwn2Own コンテストでリチャード・ジュー氏とアマット・カーマ氏のコンビが発見し、賞金5万ドル（約560万円）を獲得しました。
 
このイベントでジュー氏とカーマ氏のチームは、Samsung Galaxy S9やXiaomi Mi6を使って、Androidデバイスにも同様の脆弱性があることを示しています。
 

Confirmed! The @fluoroacetate duo combined a bug in JIT with an Out-Of-Bounds Access to exfiltrate data from the iPhone. In the demo, they grabbed a previously deleted photo. In doing so, they earn themselves $50K and 8 Master of Pwn points. #P2OTokyo

— Zero Day Initiative (@thezdi) 2018年11月14日

今後のアップデートで修正の見込み

イベントで発見された脆弱性に対処するのに必要な情報は、Appleなどの各社に提供されているため、今後のiOSのアップデートによって修正されると見込まれます。
 
なお、Appleは、現在開発者向けにiOS12.1.1のベータを公開しています。
 
先日、正式版が公開されたiOS12.1は、デュアルSIMへの対応、新しい絵文字などの新機能のほか、深刻な脆弱性に対応した重要なアップデートとなっています。

 
 
Source:Forbes
Photo:Apple
(hato)