iOS 9に思わぬ脆弱性。パスコードを知らなくても、ロック画面から連絡先と写真をハッキングできます

150924ios9flaw.jpg

恐ろしいほど、あっさりと。

iOS 9に、思わぬ抜け穴がありました。なんと特定の手順を踏むと、ロック画面からSiri経由でiOSの端末に登録された連絡先写真にアクセスできてしまうんです。パスコードもTouch IDも意味がありません。

簡単にできるハッキング方法

NEW iOS 9 Lockscreen Bypass - Access Photos & Contacts Without Passcode

筆者も自分のiPhoneで試しましたが、驚くほど簡単でした。

1)「スライドでロック解除」をし、でたらめでいいのでパスコードを入れます。これを4回繰り返してください。

2)5回目の入力で、4ケタ目の文字をタップすると同時にホームボタンをプッシュ。すると、Siriが起動します。

3)Siriに時間を聞くと教えてくれるので、時計のアイコンをタップします。

4)起動した時計アプリで世界時計を開き、右上にある「+」アイコン(都市の追加)を選択して検索ウィンドウに適当な文字を入力。その文字を全選択すると、メニューバーが出てくるので、「共有」を選択してメッセージ(SMS)にアクセスします(※)。

5)メッセージではiPhoneに登録された連絡先を選べます。また、ここで写真を選択すれば、カメラロールの写真を見ることもできてしまいます。

※ロック画面からSiriにアクセスする設定にしている場合、上の手順を踏まなくてもここまで来られます。でも、通常ならSMSにアクセスする時点で再びパスコードを求められますが、この場合は求められません

どうすれば防げるか?

悪用しようとすれば、いくらでもできそうなセキュリティーホールですが、ハッキングを防ぐ方法は至ってシンプルです。

「設定」→「Touch IDとパスコード」→「ロック中にアクセスを許可」の中からSiriをオフにする

これだけです。Siriを頻繁に使う人にとっては、ロック画面からSiriを使えなくなるので少し不便になるかもしれませんが、この脆弱性に対応したアップデートが出るまでは仕方がないかもしれません。

source: The Hacker News

(高橋ミレイ)