AppleがiOS 10.3以降で悪意のあるアプリがサインインしたiCloudのユーザーレコードにアクセスできてしまう可能性のある脆弱性を修正したと発表しています。詳細は以下から。
Appleは現地時間2017年08月01日、今年3月27日に公開したiOS 10.3のセキュリティコンテンツリストをアップデートし、iOS 10.3でユーザーがApple IDを使いサインインしたiCloudのユーザーレコードに悪意のあるアプリがアクセスできてしまう可能性のある脆弱性(CVE-2017-6976)を修正したと発表しています。
クレジットされているGeorgeさんは本日この脆弱性の情報の一部を公開し、ユーザーレコードにはApple IDに紐づけされたユーザー名やメールアドレス, 電話番号が含まれ、ユーザーに気づかれずバックグラウンドでアクセスできることが可能だったそうです。
I just published “iCloud User Information Disclosure” https://t.co/3TEVpXbUbF
— George (@theninjaprawn) 2017年8月1日
AppleIDAuthAgent is a service that exists on iOS that appears to handle actions regarding a users Apple ID, including iCloud information linked to that account. It runs an XPC service known as com.apple.coreservices.appleid.authentication, which could be accessed by any application.[…] The components that were easy to spot were the user’s name, the Apple ID itself, and verified emails and phone numbers associated with the account. All of this could be done in the background without the user knowing anything about it.
iCloud User Information Disclosure – George Dan – Medium
Appleのリリースノートによると、Appleはこの脆弱性をサードパーティ製アプリにSandboxの制限を追加し修正したとのことなので、まだ古いiOSを利用されている方はアップデートすることをお勧めします。
- About the security content of iOS 10.3 – Apple Support
- iCloud User Information Disclosure – George Dan – Medium
コメント