セキュリティ研究者のAviv Raff氏は米国時間7月23日,「iPhone」版の「Mail」と「Safari」にはURL偽装(スプーフィング)の脆弱性があり,第三者がこれを利用してiPhoneユーザーにフィッシング攻撃を仕掛けることが可能だと報告した。
この脆弱性は,以前から警告されていたものだ。Raff氏をはじめとする数名のセキュリティ研究者は,iPhoneが7月11日に発売される前からiPhoneの脆弱性を発見したことを示唆していたが,「iPhone 2.0」の最終版リリースまで様子を見るつもりだと述べていた。
Raff氏によれば,偽装用のURLを作成することで,攻撃者はMail上で信頼できるサイト(金融機関やソーシャルネットワークのサイトなど)から送られてきたように見えるリンクが作れるという。ユーザーがこのリンクをクリックすると,Safariはこのフィッシングサイトを開いてしまう。この問題に影響を受けるのは,iPhone 1.1.4および2.0のユーザーだ。
Raff氏はAppleに対してすでにこの脆弱性を通知しているが,パッチが提供されるまでは詳細を公表しないと,自身のブログの中で記している。
対策パッチがリリースされるまで,iPhoneユーザーは「信頼できるウェブサイト(銀行,PayPal,ソーシャルネットワークなど)だとするリンクがMailで開いたメールに書かれていても,そのリンクをクリックせずに,SafariでウェブサイトのURLを直接入力してほしい」とRaff氏は警告している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
関連記事
- 「iPhone」の脆弱性を発見せよ--ハッカーと研究者の競争 - 2007/07/04 12:09:01
- セキュリティ専門家,「iPhone」実証コード2件を発表--設計に深刻な問題と指摘 - 2007/07/24 09:59:02
- アップル,iPhoneの脆弱性10件を修正 - 2007/09/28 13:59:01
- アップル,iPhoneとiPod touchのパッチをリリース--TIFF脆弱性に対応 - 2007/11/14 10:58:01
- iPhone,2008年にはセキュリティ攻撃で標的へ--セキュリティ企業が指摘 - 2007/12/14 11:41:01
- アップル,「QuickTime」「iPhone」「iPod touch」の脆弱性を修正 - 2008/01/23 22:11:01
- iPhoneのセキュリティは最新ではない--研究者が指摘 - 2008/07/04 14:52:01
- アップル,「iPhone 2.0」および「iPod Touch 2.0」ソフトウェアアップデートを発表 - 2008/07/14 10:08:01
- iPod touchのSafariに脆弱性,証明書が不正に受け入れられる可能性 - 2008/07/14 16:25:01