Apple、iOS 10.3以降で悪意のあるアプリがサインインしたiCloudのユーザーレコードにアクセスできてしまう可能性のある脆弱性を修正。


 AppleがiOS 10.3以降で悪意のあるアプリがサインインしたiCloudのユーザーレコードにアクセスできてしまう可能性のある脆弱性を修正したと発表しています。詳細は以下から。

 Appleは現地時間2017年08月01日、今年3月27日に公開したiOS 10.3のセキュリティコンテンツリストをアップデートし、iOS 10.3でユーザーがApple IDを使いサインインしたiCloudのユーザーレコードに悪意のあるアプリがアクセスできてしまう可能性のある脆弱性(CVE-2017-6976)を修正したと発表しています。

Apple disclosed CVE-2017-6976

 クレジットされているGeorgeさんは本日この脆弱性の情報の一部を公開し、ユーザーレコードにはApple IDに紐づけされたユーザー名やメールアドレス, 電話番号が含まれ、ユーザーに気づかれずバックグラウンドでアクセスできることが可能だったそうです。

AppleIDAuthAgent is a service that exists on iOS that appears to handle actions regarding a users Apple ID, including iCloud information linked to that account. It runs an XPC service known as, which could be accessed by any application.[…] The components that were easy to spot were the user’s name, the Apple ID itself, and verified emails and phone numbers associated with the account. All of this could be done in the background without the user knowing anything about it.

iCloud User Information Disclosure – George Dan – Medium