Webアプリケーション・セキュリティ管理の米SPI Dynamicsは,米Apple製スマートフォン「iPhone」に搭載されているWebブラウザ「Safari」の電話発信機能にセキュリティ・ホールが存在すると警告した。SPI DynamicsのBilly氏が米国時間7月16日,同社のブログへの投稿で明らかにしたもの。

 iPhoneのSafariは,Webページに掲載されている任意の電話番号をタップすると,その番号に電話をかけることができる。この機能について,SPI Dynamicsは「さまざまな攻撃に悪用される危険性がある」と指摘した。

 SPI Dynamicsによると,悪意のあるWebサイトや,クロスサイト・スクリプティングの影響を受けた一般Webサイト,Webアプリケーション・ワームなどで以下の攻撃が可能になるという。

・ユーザーが認識しているものとは別の電話番号への通話転送
・通話履歴の追跡
・許可していない通話の発信
・iPhoneの電源を切るまで終わらない発信の繰り返し
・発信操作の阻止

 具体的な攻撃として,SPI Dynamicsはユーザーをだまして有料情報サービスに発信するといった例を挙げた。この発信は,データの喪失をともなうリセットを行わない限り止められない。

 SPI Dynamicsは7月6日に同セキュリティ・ホールをAppleへ報告し,修正に向けて協力しているという。iPhoneのユーザーに対しては,Appleが問題を解決するまでのあいだSafariの電話発信機能を使わないよう呼びかけている。

[Billy氏の投稿]