セキュリティ企業のラックは2010年8月12日、米アップルの「iPhone」「iPod touch」「iPad」で使われているOS「iOS」には危険な脆弱(ぜいじゃく)性が見つかったとして注意を呼びかけた。細工が施されたWebサイトにアクセスするだけでウイルスに感染する危険性などがある。対策は、修正済みのiOSに更新すること。
iOSには、PDFファイルの処理に関する脆弱性と、権限の昇格が可能になる脆弱性が見つかった。2件の脆弱性を悪用されると、細工が施されたPDFファイルを開くだけで、任意のプログラム(ウイルスなど)を管理者権限で実行される恐れがある。そういったPDFファイルが仕込まれたWebサイトにアクセスするだけでも、被害に遭う危険性がある。
これらの脆弱性は、iPhoneの保護機能を無効にするツール(Webサイト)で使われていたために、その存在が明らかになった。保護機能を無効にすることは「脱獄(Jailbreak)」と呼ばれる。どのようなソフトでもインストールできるようになるため、iPhoneを脱獄させているユーザーは少なくない。
現時点では、今回の脆弱性を悪用した攻撃は確認されていない。しかしながら、脆弱性を突く方法は一般に出回っているので、「実際の攻撃が出現するのは時間の問題」(同社最高技術責任者の西本逸郎氏)だという。
悪用されると、「Webサイトにアクセスしただけ」あるいは「メールに添付されたPDFファイルを開いただけ」でウイルスに感染し、iPhoneなどを乗っ取られる恐れがある。その結果、iPhoneなどに保存されている情報を盗まれたり、勝手に電話をかけられたりする。
実際ラックでは、今回の脆弱性を突くデモを実施。細工が施されたWebサイトにアクセスするだけで、iPhoneにダミーのウイルスがインストールされることを実演してみせた(図)。
加えてデモでは、ダミーウイルスがインストールされたiPhoneから、受信メールや住所録、写真データなどを盗めること、そのiPhoneを使って遠隔のパソコンから電話をかけられることなども示した。
対策は、同日(米国時間では8月11日)公開されたiOSの更新版をインストールすること。iPhoneとiPod touchについては「iOS 4.0.2」、iPadについては「iOS 3.2.2」に更新する。iTunes経由でインストールする。
