楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

【iPhone】iOS 10.3でアプリがApple IDや氏名などを不正取得できる問題が修正されていた

ios10.3-upd-20170803 (1)
スポンサードリンク

AppleがiOS 10.3で、サードパーティーアプリがユーザーのiCloudユーザーレコード(Apple ID、氏名、メールアドレス、電話番号等を含むデータ)にアクセスし、バックグラウンドで不正取得出来る問題を修正していたことを明らかにしました。

8月1日付けでiOS 10.3 のセキュリティコンテンツについて(US版)に、次の情報を追記しています。

種類 サンドボックスプロファイル
対象 iPhone 5以降、iPad 4世代以降、iPod touch 6世代
影響 悪意のあるアプリケーションが、ユーザーがサインインしたiCloudユーザーレコードにアクセスできる可能性。
解説 サードパーティーのアプリケーションに対するサンドボックスの追加制限により、問題が解決されました。
CVE-ID CVE-2017-6976:George Dan(@theninjaprawn)

アプリがiCloudに関する個人情報を取得できた可能性

今回の問題を見つけたiOSデベロッパーGeorge Dan氏によると、全てのアプリケーションがアクセスすることができる、ユーザーのApple IDに関する処理をするサービスに問題(脆弱性)があったようです。

AppleIDAuthAgent is a service that exists on iOS that appears to handle actions regarding a users Apple ID, including iCloud information linked to that account. It runs an XPC service known as com.apple.coreservices.appleid.authentication, which could be accessed by any application.

引用:CVE-2017–6976: iCloud User Information Disclosure

悪意のあるアプリケーションが、同サービスに特定のコマンドを送信すると、ユーザーの名前、Apple ID、アカウントと紐付けられたメールアドレス、電話番号をバックグラウンドで取得することが出来たとのこと。

またコマンドのパターンは幾つかあり、他にもアカウントの設定状況、デバイスにログインしていたApple IDのリスト、Apple IDの最終ログイン日時などが返ってくるものもあったようです。

What I got back was very interesting. The components that were easy to spot were the user’s name, the Apple ID itself, and verified emails and phone numbers associated with the account. All of this could be done in the background without the user knowing anything about it.

Other commands that could be sent were 0x500 which primarily showed some settings for the account, 0x150 shows a list of Apple IDs that were logged in on the device (?) and 0x510 shows the last time the user logged in to their Apple ID account.

引用:CVE-2017–6976: iCloud User Information Disclosure

George Dan氏は、今回の問題をAppleに今年1月19日に報告し、Appleは3月28日にリリースしたiOS 10.3で修正の対応を行った模様です。

公表が8月に延びた可能性としては、iOS 10.3の普及率が関連するのかもしれません。

関連記事

【iPhone】iOS10.3.3アップデートの変更内容と不具合情報まとめ【iPhone】iOS10.3.3アップデートの変更内容と不具合情報まとめ

【iPhone】iOS 10.3.3で不具合「iTunesでバックアップが出来ない」報告多数【iPhone】iOS 10.3.3で不具合「iTunesでバックアップが出来ない」報告多数

【iPhone】iOS 10.3.3で「バッテリーの減りが早い」「電源が突然落ちる」問題が多数報告【iPhone】iOS 10.3.3で「バッテリーの減りが早い」「電源が突然落ちる」問題が多数報告

【iPhone】iOS 10.3.3でWi-Fiが切れる不具合が一部で報告【iPhone】iOS 10.3.3でWi-Fiが切れる不具合が一部で報告

参考:CVE-2017–6976: iCloud User Information Disclosure via APPLE Ch.

コメント0件

コメントはこちら

*
*
* (公開されません)

Return Top