【悲報】iPhoneのUSB-Cに重大な脆弱性発覚。コントローラーチップの不正書き換えが可能に - すまほん!!
すまほん!! » テック » セキュリティ » 【悲報】iPhoneのUSB-Cに重大な脆弱性発覚。コントローラーチップの不正書き換えが可能に iPhoneのUSB-C充電ポートに、新たなセキュリティ上の懸念が浮上しました。セキュリティ研究者のThomas Roth氏は、iPhoneの充電とデータ転送を管理する「ACE3」コントローラーチップが不正に書き換えられるおそれがあると指摘しています。 もし悪意ある人物に物理的に端末を奪われ、このチップを再プログラムされてしまうと、セキュリティを迂回して個人情報へアクセスされる可能性があるとのことです。 iPhoneは、これまでもAppleの厳格な管理体制と、それに挑むセキュリティ研究者や「脱獄」コミュニティとの間で、いたちごっこが続いてきました。Appleは脆弱性をふさぐ一方で、常に新しい抜け道を探すハッカーが後を絶たないという歴史があります。
ブラジル警察、iPhoneのロック解除に特化した犯罪者集団の幹部を確保 - iPhone Mania
ブラジルでは、iPhoneのロックが解除され、銀行口座へとアクセスされることにより金銭が盗まれる事件が数件報告されていましたが、ブラジル警察は犯罪者集団を束ねていた男たちを確保することに成功した、と地元メディアが伝えています。 Face IDやTouch IDの迂回にも成功 ブラジル紙Folha de S.Pauloによれば、ブラジル警察は現地時間7月16日、iPhoneのロック解除を行いユーザーの銀行口座から金銭を盗むことに特化していた犯罪者集団の幹部4人を逮捕したとのことです。 御用となったのは、サンパウロで最も悪名高い犯罪者集団の一つです。彼らはスマートフォンのセキュリティ上の脆弱性につけ込み、特殊なソフトウェアを使ってFace IDやTouch ID、英数字のパスワードを迂回していたようです。 80名の警官と38台の車両で行われた犯罪者集団の確保 警察本部長のロベルト・モンテイロ氏
中国政府がコンテストで入賞した脆弱性を用いてiPhoneをハッキングしウイグル人用の監視ツールを開発していたことが明らかに
ハッキングコンテストに参加した中国人ホワイトハッカーが、ゼロデイ脆弱性を発見し、コンテストで入賞し賞金を獲得しました。通常、こういった脆弱性は開発企業に報告され、修正されたのちに公開されます。しかし、中国政府はこの脆弱性を応用したエクスプロイトを作成し、ウイグル人をスパイするための監視ツールを開発したと報じられました。 Report: China Turned Prize-Winning iPhone Hack into a Surveillance Tool Against Uyghur Muslims https://www.iphonehacks.com/2021/05/china-prize-winning-iphone-hack-uyghur-muslims.html iPhone hack used by China to spy on Uyghur Muslims - 9to
最新の「iOS 13.5」も脱獄できるツールが公開
ハッカー、セキュリティ研究者、リバースエンジニアからなるチーム「Unc0ver」が米国時間5月23日、「iOS」デバイス向けの新たなジェイルブレイク(脱獄)パッケージをリリースした。 Appleはセキュリティの観点から、「iPhone」をはじめとするiOSデバイスのデフォルト設定で、ユーザーに完全な権限を与えないようにしている。 Unc0verは23日、ジェイルブレイクソフトウェアの最新版「Unc0ver 5.0.0」をリリースした。このパッケージを使うと、iOSの最新版「iOS 13.5」を実行するデバイスを含むほとんどのiOSデバイスをルート化し、ロック解除することができる。 こうしたことが可能になるのは、Appleが認識していないiOSのゼロデイ脆弱性をUnc0ver 5.0.0が利用しているからだという。 そのゼロデイ脆弱性は、Unc0verのメンバーの1人(Pwn20wnd氏とし
「iPhone」の脆弱性が2年以上も悪用されていた--中国によるウイグル人監視か
Googleのセキュリティチーム「Project Zero」の研究者らは、複数のウェブサイトがハッキングされて、長年にわたって訪問者の「iPhone」にマルウェアを忍び込ませていたことを発見したと発表した。そうしたサイトを訪問したユーザーは、メッセージ、写真、位置データを読み取られていた可能性があるという。同チームは、2019年に入ってこの発見内容をAppleに報告済みで、この脆弱性は「iOS 12.1.4」で修正されたという。 「攻撃は無差別だった。ハッキングされたサイトを訪問するだけで、エクスプロイトサーバーはそのユーザーの端末を攻撃することができ、それに成功すると、監視プログラムをインストールする。それらのサイトには毎週数千人の訪問者がいると推定される」と、Project ZeroのIan Beer氏は、同チームの発見内容を詳しく説明する米国時間8月29日付けのブログ記事に記している
「iPhone」の脱獄を可能にするバグ、「iOS 12.4.1」で再修正
Appleは米国時間8月26日、「iOS」のセキュリティアップデートをリリースした。以前のリリースで修正したバグを同社が誤って元に戻したために、iOSの現行バージョンに新たな“ジェイルブレイク(脱獄)”を可能とするセキュリティ脆弱性が生じていたが、そのバグが修正されている。 GoogleのセキュリティチームProject ZeroのセキュリティエンジニアであるNed Williamson氏が発見した元のバグは、不正なアプリが「Use After Free」の脆弱性を利用して、iOSカーネルにおいてシステム権限でコードを実行できるものだった。 このバグは、iOS 12.3で最初に修正されたが、7月のiOS 12.4で誤って元に戻されており、26日にリリースされたiOSバージョン12.4.1は、これを再度修正している。 Appleのこの失態が見過ごされることはなく、8月に入ってPwn20wnd
ヌード写真大量流出の原因判明!iCloudのハッキングは「iPhoneを探す」の脆弱性を狙ったブルートフォースアタック | 男子ハック
「iPhoneを探す」の脆弱性をついたブルートフォースアタック現在では既にこの脆弱性はパッチがあてられ悪用することはできなくなっていますが、今回のヌード写真などが大量流出した騒動はiCloudの「iPhoneを探す」という機能の脆弱性をついたものだったことが判明したそうです。 この脆弱性を悪用するツールはGithub上に2日前に公開されていたようで、Appleが気がついてパッチを適用したのか、偶然だったのか、Appleからのコメントはいまだされていません。 「iPhoneを探す」機能ではパスワードを複数回間違えてもロックアウトされることもなく、繰り返し施行することができるということを利用したブルートフォースアタックだったようです。現在は複数回間違えるとロックアウトされるようになっています。 iCloudのセキュリティ対策には、簡単なパスワードではなく複雑で強力なパスワードを設定。そしてAp
iPhoneのアプリ通知数を異常操作したりメッセージを匿名表示できる脆弱性をスウェーデンのプログラマーが発見
iPhoneやiPadでは、着信やメールの受信、アプリからのお知らせなどがあると、該当アイコンの右上に赤い通知がお知らせの数とともに表示されるようになっています。通知がたくさんたまると気になってしまうものですが、スウェーデンのプログラマーが、アプリの通知数を異常な数値で表示して消去できなくしたり、好きなメッセージを匿名で表示させたりできるiOSのセキュリティホールを発見したことをTechWorldに報告し、実証しています。 Så enkelt hackar han Iphone - IDG.se http://www.idg.se/2.1085/1.546628/sa-enkelt-hackar-han-iphone TechWorldは、スウェーデンのプログラマーRoman Digerberg氏から「iOSに重大なセキュリティホールがあることを発見した」と連絡を受けました。その情報による
heise online – IT news, guides and background information | heise online
Discover cutting-edge IT insights from Europe's largest tech editorial team. Explore curated breaking news and expert opinions for tech enthusiasts and pros. Don't miss any news – follow us on Facebook, LinkedIn or Mastodon. There is great uncertainty in the security industry whether the US government's U-turn could endanger the country. But there are also voices of moderation. A number of users c
AppleがiOSのアップデートを公開、脱獄ツールに利用の脆弱性に対処
iPhoneやiPadなどに搭載されているiOSのアップデートが公開された。脱獄ツールの最新版に利用されたPDF関連の脆弱性に対処したとみられる。 米AppleはiPhoneやiPadなどの端末に搭載されているiOSのソフトウェアアップデートを7月16日に公開し、深刻な脆弱性に対処した。アップデートはiTunes経由で入手できる。 同社のセキュリティ情報によると、「iOS 4.3.4ソフトウェアアップデート」はiPhone 3GSとGSMモデルのiPhone 4、iPod touch(第3世代と第4世代)、iPadがそれぞれ対象となる。また、CDMAモデルのiPhone 4向けには「iOS 4.2.9ソフトウェアアップデート」がリリースされた。 両アップデートとも同じ3件の脆弱性に対処している。このうちCoreGraphicsに関する2件の脆弱性は、いずれもFreeTypeのフォント処理に
Android、WebOS、iOSに共通する弱点
世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。 最初に、いま話題の端末関連のブログを紹介しよう。米マカフィーの「Mobile Browsers: Trouble Comes in Threes」である。米グーグルの「Android」、米ヒューレット・パッカード(HP)の「WebOS」、米アップルの「iOS」という3種類のスマートフォンOSに存在するセキュリティホールを取り上げている。異なるOSだが、いずれもWebブラウザーがマルウエアの侵入を許していたという。 Androidのセキュリティホールは、スマートフォン内のSDカードからデータを盗むことに悪用される。攻撃者は、ローカル環境のHTMLファイルをWebブラウザー内で実行してセキュリティホールを突く。その理由は、WebページからHTMLファイルをロードさせるより制限が緩くなるからだ。アプリケー
heise online – IT news, guides and background information | heise online
Discover cutting-edge IT insights from Europe's largest tech editorial team. Explore curated breaking news and expert opinions for tech enthusiasts and pros. Don't miss any news – follow us on Facebook, LinkedIn or Mastodon. Eutelsat aims to deploy 40,000 terminals to replace Starlink in Ukraine soon. Talks with suppliers and the EU Commission are ongoing. Reports of undocumented Bluetooth HCI com
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
AirDrop、実はヤバかった? 電話番号やメールアドレスが特定される可能性ありと判明【やじうまWatch】
https://jp.techcrunch.com/2020/05/24/2020-05-23-hackers-iphone-new-jailbreak/
なんとも摩訶不思議? とあるキーワードを音声入力するとiPhoneが落ちるバグ見つかる【やじうまWatch】
https://jp.techcrunch.com/2017/04/05/20170404project-zero-uncovers-a-nasty-wi-fi-chip-exploit/
https://jp.techcrunch.com/2013/12/24/20131222partnership-with-chinese-app-store-shines-a-light-on-the-hidden-world-of-jailbreak-groups/