パスワードを忘れた? アカウント作成
12743090 submission
iPhone

ロックされた状態のiPhone 6s/6s Plusで連絡先や写真にアクセス可能な脆弱性 1

タレコミ by headless
headless 曰く、
ロックされた状態のiPhone 6s/6s PlusでSiriを呼び出し、連絡先や写真にアクセス可能となる脆弱性がまた発見された。脆弱性は最新のiOS 9.3.1にも存在するが、悪用には3Dタッチ機能が必要なので、影響を受けるのはiPhone 6s/6s Plusのみとなる(The Daily Dotの記事MacRumorsの記事9to5Macの記事The Guardianの記事実証動画)。

端末がロックされた状態から連絡先や写真にアクセスするまでの流れとしては、まずSiriを呼び出してTwitterで任意のメールアドレスを含むツイートを検索する。検索結果が表示されたら有効なメールアドレスを含むツイートを開き、メールアドレス部分を3Dタッチしてコンテキストメニューから連絡先の追加を選べばいい。連絡先の作成画面で写真の追加を選べば、デバイスに保存されたすべての写真を閲覧可能になる。また、既存の連絡先への追加を選んだ場合には、保存されているすべての連絡先を閲覧可能だ。

ロック画面からSiriを使って連絡先や写真を閲覧可能な脆弱性は、iOS 9リリース直後の昨年9月にも発見されているが、今回も前回と同じJose Rodriguez氏が発見したものだ。今回の脆弱性も「設定」の「Touch ID とパスコード」でロック時のSiriへのアクセスを無効化することで悪用を回避できる。
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
  • by headless (41064) on 2016年04月07日 2時11分 (#2993265)
    AppleはWashington Post [washingtonpost.com]に対し、この脆弱性を火曜日(4月5日、現地時刻)の午前中に修正したと伝えたそうだ。多くの場合はソフトウェア更新をユーザーが実行しなくても修正が適用されるという。また、9to5Mac [9to5mac.com]によれば、低電力モード時にSiriがNight Shiftをオンにできないバグも修正されているとのことだ。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...