Lamiyi

iOS に新たな脆弱性が発見され、悪意のあるキーロギングやタッチロギングの被害に遭う可能性があります。

FireEyeは、Appleのアプリ審査プロセスを効果的に回避し、非脱獄デバイスを悪用する方法を発見したと報告しています。テストアプリをApp Storeに公開することに成功したようで、同社は現在「この問題についてAppleと協力している」と述べています。

非脱獄iOS 7.0.xデバイス上で、概念実証用の「モニタリング」アプリを作成しました。この「モニタリング」アプリは、画面タッチ、ホームボタンの押下、音量ボタンの押下、Touch IDの押下など、ユーザーのすべてのタッチ/押下イベントをバックグラウンドで記録し、図1に示すように、すべてのユーザーイベントを任意のリモートサーバーに送信できます。潜在的な攻撃者は、この情報を利用して、被害者が入力したすべての文字を再現できます。

この脆弱性はiOS 7.0.4、7.0.5、7.0.6、および6.1.xに存在します。攻撃者は、顧客を騙してアプリをインストールさせるか、別のアプリのリモート脆弱性を悪用してユーザーのバックグラウンド監視を行う必要があります。

Appleはこの件についてまだコメントしていません。最新情報については、 Twitter、Facebook、またはRSSでiClarifiedをフォローしてください。

続きを読む [ArsTechnica経由]