うちの初代12.9インチiPad Proも…。
常にイタチごっこが続くセキュリティ業界ですが、新たにiOS 12.0〜13.3(最新バージョン)と多くのiOSデバイスの組み合わせにて、メールアカウントのユーザー名やパスワードの抜き取りが可能なことが報告されています。
この情報は、iOSデバイスのハッキングツールを販売しているElcomsoftが報告したものです。同社の1495ドル(約16万円)の専用ツールを利用すると、iPhoneがロックされていようが再起動後だろうが、サクッとデータの抜き取りが可能だというのです。
Aシリーズプロセッサの脆弱性を利用
このハックには、Aシリーズプロセッサの一部に存在するcheckm8という脆弱性が利用されています。iPhoneはロックが解除されないうちはほとんどのデータが暗号化されているのですが、ツールを利用するとそのデータの一部にアクセスできてしまうというのです。
重要な認証情報が抜けてしまう
そしてアクセスできるデータには、メールアカウントの認証資格情報や認証トークンといった、一部のキーチェーンアイテムが含まれます。またツールの使用には脱獄ツールのインストールが必要ですが、こちらもロック状態から導入が可能です。
対象となるデバイス
この脆弱性の影響を受けるのは、A7〜A11プロセッサを搭載したiPhoneとiPadです。具体的にはiPhone 5s/6/6s/SE/7/8/Xと、iPad mini 2やiPad(2018年モデル)、10.2インチ iPad、12.9インチ iPad Pro(第1世代)が含まれます。現時点ではこのハッキングにはツールの使用が必要とはいえ、なんとも気持ちの悪い話です。
Source: 9to5Mac
