Lamiyi

ジョージ工科大学のTielei Wang氏と彼のセキュリティ研究チームは、特定の悪意のあるiOSアプリを作成してApple App Storeで公開できる脆弱性を発見しました。

チームは「Jekyll」アプリを作成し、通常のApp Store審査プロセスを経てAppleに提出しました。公開後、チームはテストデバイスにアプリをダウンロードし、メールやテキストメッセージの送信、写真の撮影など、悪意のあるアクティビティをアプリで実行することに成功しました。カーネルの脆弱性さえも悪用可能でした。

Apple がアプリを審査する際、コードと機能は無害であるように見えますが、アプリがデバイスにインストールされると、作成者によってコードが悪用される可能性があります。

チームはすぐにアプリを削除したが、Apple が修正プログラムをリリースしない限り、他の類似アプリが App Store に登場して同じことが起こる可能性はまだ残っている。

ワン氏は、悪意のある充電器の脆弱性を発見したチームの一員でもあり、Apple はこれを iOS 7 ベータ 4 で修正した。

チームは特定のバグに依存していないため、Apple が修正するのが困難になっていると説明した。

Apple が Jekyll アプリを検出したり防止したりするのは簡単ではありません。これは、Apple がサードパーティ製アプリの意図的なバグを検出したり防止したりする必要があることを意味するためです。

研究者らは調査結果を Apple に提出したので、今後のソフトウェア アップデートでこの問題が解決されることが期待されます。

続きを読む iMore 経由 Tzvi 経由