セキュリティ研究者のAviv Raff氏は協定世界時2008年10月2日,米Apple製携帯電話「iPhone」のメール・アプリケーションにセキュリティ・ホール2件が存在すると警告した。
1件目はHTMLメールの表示方法に関するもので,同氏はフィッシングに悪用される恐れがあると指摘する。メール・アプリケーションの多くは,メール・メッセージ内のHTMLリンクにカーソルを重ねると実際のURLをツールチップとして表示して,ユーザーがアクセス対象Webページを事前に確認できる。これに対し,iPhoneのメール・アプリケーションにはリンクを数秒クリックした状態にしておかないとツールチップを表示しないという問題がある。さらに,画面が狭いため長いURLだと途中を省略して表示する。ユーザーはメッセージ内に記載されたものとは違うWebページに誘導されやすくなる。
iPhone用Webブラウザ「Safari」の表示部もURLを省略する。また,表示部をクリックするとカーソルがURLの末尾に移動してしまい,URLの確認に手間がかかる。そのため,フィッシング・サイトにアクセスしても気付きにくいという。
2件目のセキュリティ・ホールは,画像付きHTMLメールに関係する。iPhoneのメール・アプリケーションは,HTMLメールに画像が挿入されていると,外部のサーバーにその画像を転送するよう求める。画像転送の要求はユーザーから許可を得ず自動的に行い,そのメールが読まれたという情報は外部サーバーに必ず伝わる。メール・アドレスが有効であるとスパマーに知られやすく,大量スパムを招く切っ掛けになるという。
いずれのセキュリティ・ホールも回避策はなく,同氏は「修正されるまでiPhone用メール・アプリケーションの使用を控えるしかない」としている。
なお,同氏はこの問題をAppleに報告した後,7月23日にブログで概要を明らかにしていた。同氏によれば,Appleはこの2カ月半のあいだにiPhone用OSを3バージョン(v2.0.1/v2.02/v2.1)出したにもかかわらず一向に修正せず,対策スケジュールも提示しなかった。そこで詳細情報の公開に踏み切ったという。
公開時に2番目の段落の一部の文章が日本語としておかしくなっていたので修正しました。 [2008/10/06 12:30]
