iPhoneの「削除済み写真」を盗み出す手口、ハッカーが公開

iPhone X(Photo by Chesnot/Getty Images)

11月14日、東京で開催されたセキュリティ関連のコンテストで、2名のハッカーたちがiPhoneで削除済みの写真を盗み出せることを証明し、賞金50万ドル(約5700万円)を獲得した。

今回、この栄誉に輝いたのはRichard ZhuとAmat Camaの2名が結成したFluoroacetateというチーム。彼らは最新のiOS (12.1)がインストールされたiPhone Xに、Safariブラウザの脆弱性をついた攻撃をしかけ、削除済みファイルを盗むことに成功した。

「Pwn2Own」と呼ばれるコンテストは、トレンドマイクロの脆弱性リサーチ部門Zero Day Initiativeの協力で実施された。主催者らはこの件を、既にアップルに報告したという。

iPhoneで削除した写真は30日間、「最近削除した項目」に格納され、ファイル自体はディスクに残っている。完全に削除したい場合は、「最近削除した項目」から削除する必要がある。

Fluoroacetateチームが奪取に成功したのは、この「最近削除した項目」内のファイルだ。彼らはWi-Fi経由で端末にアクセスし、JITコンパイラの脆弱性をついて攻撃をしかけたという。この攻撃はカフェなどの公衆Wi-Fiを通じて行われる可能性があるという。

ZhuとCamaらのデモにより、「最近削除した項目」内のファィルがハッカーに盗み出される懸念が持ち上がった。想定される被害の対象は写真だけに限らない。この脆弱性はアップルが新たなパッチをリリースするまで、存在し続ける。

筆者はアップルにコメントを求めたが、現時点で回答は得られていない。

この問題は、アンドロイド端末にも存在している。FluoroacetateチームはサムスンのGalaxy S9や、シャオミのMi6にも同様の脆弱性があると述べている。この問題はF-Secureのリサーチャーらも指摘している。

端末メーカーらはできるだけ早期に、この脆弱性に対応する必要がある。

編集=上田裕資

タグ:

ForbesBrandVoice

人気記事