iOS 9に思わぬ脆弱性。パスコードを知らなくても、ロック画面から連絡先と写真をハッキングできます

2015.09.25 09:37
  • このエントリーをはてなブックマークに追加

150924ios9flaw.jpg


恐ろしいほど、あっさりと。

iOS 9に、思わぬ抜け穴がありました。なんと特定の手順を踏むと、ロック画面からSiri経由でiOSの端末に登録された連絡先写真にアクセスできてしまうんです。パスコードもTouch IDも意味がありません。


簡単にできるハッキング方法


NEW iOS 9 Lockscreen Bypass - Access Photos & Contacts Without Passcode


筆者も自分のiPhoneで試しましたが、驚くほど簡単でした。


1)「スライドでロック解除」をし、でたらめでいいのでパスコードを入れます。これを4回繰り返してください。

2)5回目の入力で、4ケタ目の文字をタップすると同時にホームボタンをプッシュ。すると、Siriが起動します。

3)Siriに時間を聞くと教えてくれるので、時計のアイコンをタップします。

4)起動した時計アプリで世界時計を開き、右上にある「+」アイコン(都市の追加)を選択して検索ウィンドウに適当な文字を入力。その文字を全選択すると、メニューバーが出てくるので、「共有」を選択してメッセージ(SMS)にアクセスします(※)。

5)メッセージではiPhoneに登録された連絡先を選べます。また、ここで写真を選択すれば、カメラロールの写真を見ることもできてしまいます。


※ロック画面からSiriにアクセスする設定にしている場合、上の手順を踏まなくてもここまで来られます。でも、通常ならSMSにアクセスする時点で再びパスコードを求められますが、この場合は求められません


どうすれば防げるか?


悪用しようとすれば、いくらでもできそうなセキュリティーホールですが、ハッキングを防ぐ方法は至ってシンプルです。


「設定」→「Touch IDとパスコード」→「ロック中にアクセスを許可」の中からSiriをオフにする


これだけです。Siriを頻繁に使う人にとっては、ロック画面からSiriを使えなくなるので少し不便になるかもしれませんが、この脆弱性に対応したアップデートが出るまでは仕方がないかもしれません。


source: The Hacker News

(高橋ミレイ)

  • このエントリーをはてなブックマークに追加
  • 指紋は知っていた (文春文庫)
  • チャンダック セングープタ|文藝春秋
  • ITインフラマガジン 徹底理解セキュリティ(日経BP Next ICT選書)
  • 日経NETWORK,日経SYSTEMS|日経BP社
特別企画

家事で空気は汚れる? 「Dyson Pure Cool Link」でチェックしてみた

Sponsored by Dyson 風が強くて気持ちいい扇風機と、微細なアレルゲンも取り除いてくれる空気清浄機。2in1なダイソン・エアマルチプライアーシリーズ最新モデルが、さらなる進化を遂げました...
続きを読む»

・関連メディア