Appleの怠慢か?iOS、iPadOSほかで悪用された脆弱性があり 9月24日に発売となったiPhone13もすぐにアップデートを!

おすすめ

心のどこかで「WindowsやAndroidOSはセキュリティが低いけど、iOS・iPadOSは安全!」と思い込んでいませんか?確かにOSの構造上、権限管理がしっかりしており侵入しにくくなっているのも事実です。
しかし攻撃側のテクニックも向上しており、以前のように安全とは言えなくなってきました。Apple自身もそれを認め、最近は矢継ぎ早にアップデートをしています。

既に悪用された可能性が

これまではメールに細工をして開くと感染し情報を抜き取ることが一般的でした。最近は全く関係のないホームページに悪意あるWebコンテンツをこっそり仕組んだり、本物の銀行口座のページの上に偽のページを重ねて表示させたりすることで、個人情報を盗み出そうとしています。どこに悪意のあるコンテンツがあるかは分かりません。
細工されたWebコンテンツを見るだけで任意のコードが実行され、個人情報が盗まれる危険性があるとされています。


9月24日現在のバージョン

アップルは、日本時間で9月21日に「iOS 15」および「iPadOS 15」にセキュリティアップデートと新機能を追加しました。現在のバージョンが「iOS 14.8」「iPad OS 14.8」より古いバージョンの方はバージョンアップすることをお勧めします。
なおwatchOSおよびmacOSは「watchOS 7.6.2」「macOS Big Sur 11.6」が最新です。

セキュリティアップデートの内容(一部)
「iOS 15」および「iPadOS 15」のアップデートでは、

①登録済みのユーザーに似せて作られた3DモデルがFace IDで認証される可能性がある脆弱性(CVE-2021-30863)
②Siriを通じてロック画面から連絡先を閲覧できる可能性(CVE-2021-30815)
③物理的に近くにいる攻撃者が、デバイスの設定中にユーザを悪意のあるWi-Fiネットワークに強制的に接続させる可能性がある脆弱性(CVE-2021-30810)
④アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある脆弱性(CVE-2021-30837)
⑤悪意あるアプリケーションにApple Neural Engine搭載デバイスでシステム権限を悪用され、任意のコードを実行される可能性がある脆弱性(CVE-2021-30838)

などの修正が含まれています。


依然残されている未修正の脆弱性

9月24日に発売となったiPhone13、13 mini、13 Pro、13 Pro Maxは出荷時にインストールされているiOS15は最新バージョンではありません。新しいiPhoneを安全に使用するにはソフトウェアをアップデートする必要があります。
24日出荷に間に合わせるためにiPhone13シリーズは少し古いバージョンのiOS 15がインストールされた状態で出荷されています。出荷時の状態ではiOS 15のビルド番号は「19A341」となっています。
これはiOS 15 beta8とiOS 15 RC(最終ベータ版)のビルド番号の間に位置する数字であり、出荷時にインストールされているiOS 15は不具合と脆弱性を含んだバージョンとなっています。
アップデートは通常のiOSのアップデートと同様、設定アプリから「一般」→「ソフトウェア・アップデート」と進むと新しいバージョンのiOS15をインストールできます。更新版は比較的大きなファイルサイズですが、不具合(ウィジェットが初期化される不具合)の修正とセキュリティアップデートが含まれています。
これをインストールすればビルド番号は「19A346」に更新されます。このバージョンは21日に公開されたiOS 15と同じ番号であり、最新のiOS 15となります。



さらにセキュリティ研究者の中には、Appleに報告したにも関わらずAppleはそれを無視し、iOS 15にその脆弱性がいまだ修正されずに残っていると訴えています。

1 iOSにゼロデイ脆弱性が3つ
①App Storeからインストールしたアプリが、ユーザーの許可なくApple IDメールなどの情報にアクセスできてしまう脆弱性(Gamed 0-day)
②インストールしたアプリが、任意のIDに紐付けられている他のアプリがデバイスにインストールされているかどうかを判断できてしまう脆弱性(Nehelper Enumerate Installed Apps 0-day)
③条件を満たすアプリが許可なくWi-Fi情報にアクセスできてしまう脆弱性(Nehelper Wifi Info 0-day)
2021年9月25日 05時41分「報告してもAppleが無視」と研究者が訴え〜iOS15に3つのゼロデイ脆弱性

2 iOS15のロック画面を回避できる
①SiriとVoiceOverを利用して画面ロックを回避し、メモアプリにアクセスできる

iOS15、リリース初日にロック画面の回避方法が公開される~Appleへの警鐘のため
おわりに

「iOS 15」はこれまでにない新機能が含まれているため、不具合が出る可能性もあり、アップデートに躊躇している方も多いと思います。しかしiPhoneの中には個人情報がいっぱい!なのでハッカーにとってはお宝に見えていることでしょう。セキュリティーのアップデートの責任は自分。防げるものは進んで防ぎましょう。

参考
iPhoneとiPadに脆弱性、直ちにアップデートを – 攻撃を確認済
https://news.mynavi.jp/article/20210504-1883582/
iOS、iPadOS、watchOS、macOSの緊急更新 “既に悪用された可能性のある脆弱性”を修正
https://www.itmedia.co.jp/mobile/articles/2109/14/news061.html
アップル、iOS 15、iPadOS 15でFace IDのなりすましなどの脆弱性を修正
https://k-tai.watch.impress.co.jp/docs/news/1353177.html
「iOS 15」「iPadOS 15」では脆弱性の修正も ~CVE番号ベースで22件
https://news.yahoo.co.jp/articles/71409aca3815b9fd5a31b506acee14691dbadce6
Apple、iPhone 13シリーズ用にセキュリティアップデートと問題を修正したiOS 15(19A346)をリリース
https://minatokobe.com/wp/ios/ios-15/post-78062.html
「報告してもAppleが無視」と研究者が訴え〜iOS15に3つのゼロデイ脆弱性
https://iphone-mania.jp/news-404680/
iOS15、リリース初日にロック画面の回避方法が公開される~Appleへの警鐘のため
https://iphone-mania.jp/news-404230/
本日発売のiPhone13シリーズ、購入後にiOS15のアップデートを
https://iphone-mania.jp/news-404526/

コメント

タイトルとURLをコピーしました