インディアナ大学とジョージア工科大学に在籍する6人のセキュリティ研究者が、iOSとOS Xに存在する重大なゼロデイ脆弱性を発表し話題となっています(9to5Mac、MacRumors、Ars Technica)。
その脆弱性とは、サンドボックス環境にあるアプリ(App Storeで公開されているAppleの審査を通過したアプリ)が、iCloudパスワードや、Evernote、Facebook、1Password、その他のアプリの機密情報、Chromeの保存されたパスワード等を不正に取得できてしまうというもの。
OS XのKeychainとWebSocket、iOSとOS XのURL Schemeといったアプリケーション間通信機能に脆弱性が存在しているようで、この脆弱性を利用し、実際にChromeがKeychainに保存したパスワードを、不正アプリが取得するデモ動画も公開されています。
有効な対策はいまのところ無い?
残念ながら、OSの脆弱性なので、Appleが修正パッチを公開するまで、ユーザーが実行可能な簡単な対策はあまりない様子。
とりあえず、怪しいアプリはダウンロードしないこと(App Storeに登録されているアプリでさえ危険性がある!)、およびブラウザーに銀行のパスワードなど超重要な情報を保存しないこと、などが推奨されています。
1Passwordのブログにも脆弱性の影響や対策が掲載されていますので、ユーザーは参考にすると良いと思います。
ちなみに研究者らは、2月に脆弱性を発見して、Appleに連絡済みで、その後脆弱性が修正されないままになっているのに業を煮やして今回の発表に至ったようです。Appleが修正を怠ったのか、それとも期間内に修正することが不可能だったのか、RedditやHacker Newsでも意見が分かれています。
