【iPhoneアプリ】僕、最近よく使ってます。iPhoneやiPadでSafariを閲覧するときに便利なアプリ「EverWebClipper for Evernote」
ミラーは木曜日、ブラックハットヨーロッパのセキュリティカンファレンスで、数日前に発見された最新の発見を詳述しました。
[詳しい情報:あなたのWindows PCからマルウェアを削除する方法]
ほとんどのセキュリティ研究者は、iPhone上でシェルコードを実行することはできないと考えていました。シェルコードはコマンドラインから実行できるコードですが、セキュリティ上の理由からiPhoneには許可されていないと考えられていました。
シェルコードを実行する能力は重要です。ハッカーがあらゆる種類の悪意ある行為ユーザーのテキストメッセージや遠隔地からのiPhoneの通話履歴を覗いている。iPhoneソフトウェアの以前のバージョンでは、人々がメモリを改ざんして他のコマンドを実行するのを防ぐための保護はほとんどなかったという。 Miller氏によると、iPhoneのソフトウェアの最新バージョンでは、電話の全体的なセキュリティが強化されていたという。Miller氏は、iPhoneをシェルコードを実行できるコードに騙す方法を見つけたと語った。しかし、iPhone上でシェルコードを実行するには、攻撃者はまずiPhoneを操作する必要があります。たとえば、Safari Webブラウザやモバイルのオペレーティングシステムなどのソフトウェアの脆弱性をターゲットにする方法があります。 Miller氏によると、彼は今は持っていないと言いました。
Miller氏と彼の同僚の中には、誰かが「これによって、あなたが望むコードを実行できるようになるでしょう。攻撃者がiPhoneを制御できるモバイルSafariの脆弱性を発見しました。アップルは直ちに通知を受けて、問題のパッチを発行した。
Millerの発見の意義は、デバイスが店頭で販売されているため、変更されていないバージョンのiPhoneで動作することである。研究者は、Appleが審査していないアプリケーションをインストールできるように変更された携帯電話の用語である、「jailbroken」のiPhoneを操作する能力が高いことを示しています。 Miller氏によると、これらの脱獄された携帯電話は、デバイスのメモリに対する保護が少ないという。Miller氏は、Appleが最新の問題を認識しているかどうかは不明だと述べた。 Miller氏は、この問題をApple Computerのエンジニアが問題を見落としている可能性があると指摘して、この問題を脆弱性と呼んでいませんでした。 Appleはまた、公に出てきたことはなく、シェルコードをiPhone上で実行することは不可能だと彼は述べた。