Ars Technica は 、セキュリティ企業 FireEye の研究者が iOS の新しいバグを発見したと報じて おり、このバグにより悪意のあるアプリがバックグラウンドで実行中にユーザーのタッチやボタン入力を監視して記録することが可能になるという。
マックルーマーズ:
この脆弱性は、iOS のマルチタスク機能の欠陥を悪用してユーザー入力をキャプチャし、それをリモート サーバーに送信することができると報告されています。
研究者たちは概念実証用の監視アプリを作成し、Apple App Storeの審査プロセスを「回避」する方法を開発した。アプリがインストールされると、キーボード入力、音量、ホーム、電源ボタンの使用、正確な座標での画面タッチ、Touch IDイベントなど、ユーザーの行動を監視・記録することが可能になった。
アプリのバックグラウンド更新を無効にしても、悪意のあるアプリの監視機能は無効になりません。デバイスのタスクスイッチャーからアプリを手動で削除することが、現時点での唯一の解決策です。
FireEyeは、この欠陥が現在のiOSバージョンで確認されていると指摘した。
このデモは、ジェイルブレイクされていないiPhone 5sデバイス上の最新のiOSバージョン7.0.4を悪用することに成功しています。また、iOSバージョン7.0.5、7.0.6、6.1.xにも同様の脆弱性が存在することを確認しています。これらの結果から、潜在的な攻撃者はフィッシング詐欺を用いて被害者を誘導し、悪意のあるアプリや脆弱なアプリをインストールさせるか、アプリの別のリモート脆弱性を悪用してバックグラウンド監視を行う可能性があります。
同グループは、問題の解決に向けAppleと協力していると述べた。Appleはこの件についてまだコメントしていない。
この脆弱性に関するニュースは、Appleが、本来安全なブラウザセッションにおいてSafariからデータの取得や改ざんを許すSSL脆弱性への対応としてiOS 7.0.6をリリースしてから1週間も経たないうちに報じられました。この脆弱性はOS Xにも存在することが判明しており、Appleはこの脆弱性を修正するためのOS Xソフトウェアパッチを「近日中に」リリースすることを発表しています。
