iPhoneのMailに2つの脆弱性 37
ストーリー by hylom
回避不可能 部門より
回避不可能 部門より
iPhoneのデフォルトMUAであるMailに2つの脆弱性があることが明らかにされた(The Registerの記事)。1つ目はHTMLメールに埋め込まれている画像を自動的にダウンロードしてしまうというもの。スパムメールやフィッシングメールに含まれる画像がダウンロードされることで、そのメールアドレスが生きていることがメールの送信者に知られてしまう。iPhoneのMailでは画像の自動ダウンロードを無効にすることができない。
2つ目はMailとiPhone版Safariの両方にある、長いURLを端折って表示する機能。これを悪用するとフィッシングサイトを正当なサイトであるかのようにユーザーに見せかけることができるという。たとえば、「http://securelogin.facebook.com.avivraff.com/……」というURLが埋め込まれたリンクをポイントするとiPhoneの画面には「http://securelogin.facebook.com/……」のように表示されてしまう。
発見者のAviv Raff氏は2カ月以上前にAppleに問題の存在を伝えてあり、しかもその後3度もセキュリティアップデートが行われているにもかかわらず、上記の問題は修正されていないという。Raff氏は、Appleがパッチをいつごろ提供するのか返答することを拒否したため、問題を公表することにしたそうだ。
感心しません (スコア:5, すばらしい洞察)
発見者である Aviv Raff さんのブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気がないと考えるのは早計だったのではないかと思います。
利用者側の対策のためには、7 月の時点の注意喚起文 [raffon.net]以上の情報は不要だったように見えます。ただし、これだけでは世間の関心が不十分だった可能性があり、同じ内容の注意喚起を言葉を変えて何度もする必要があったかもしれませんけど。
自分で見つけた脆弱性をどう使おうが、ある意味では自由ですけど、自由を無駄遣いする人はそのうち痛い目を見ると思います。
それと、当該製品の開発に関わっていない人に
とか言ってほしくありません。利便性を損なわずに直すのが難しいかもしれませんし、これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。「すぐ直せるのにすぐに直さないのは直す気がないからだ」という勝手な推測で重要なセキュリティーホールの詳細を修正前に公表しないでほしいです。
ところで、細かいことですが、スラッシュドットの記事の次の部分には誤りがあります。
スラッシュがないところにいきなりスラッシュが現れたりはしません。発見者のブログや The Register の記事にある例では、 http://securelogin.facebook.com.avivraff.com/reset.php?cc=534a556abd10... [avivraff.com] へのリンクが「securelogin.facebook.com....556abd1006&tt=1212620963」と表示されています。スクリーンショットの「http://securelogin.facebook.com/...」と書かれた部分は、リンク先のアドレスではなく単にアンカー文字列を表しています。
Re:感心しません (スコア:2)
iPhoneユーザーですが、危険を知らせてもらえてありがたいと思っています。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計
よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
> 利便性を損なわずに直すのが難しいかもしれませんし、
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって
> 後回しになっているのかもしれませんし、
原則として、安全性は利便性に優先すると思います。
#まさにApple(Jobs)の「傲慢」という暗黒面が発動中だな…。
Re:感心しません (スコア:1)
7月の注意喚起と対策の告知を徹底していれば
確かに、アップルに圧力をかけること以外に
詳細を公表する必然性はありませんね。
ただし、告知の徹底はアップルがやるべき。
Re:感心しません (スコア:1)
お返事ありがとうございます。
たしかに、そういう実際に Apple とやりとりした発見者しか知らない情報をもとに公表を決めた可能性はありますね。
そうですが、あくまでも原則です。 iPhone はそのデザインで評価されているので、安全性のための修正を適用することで iPhone らしいデザインが崩れてしまっては多くのユーザーが納得しないと思います (利便性で評価されているかどうかは知らないので、僕の #1434749 [srad.jp] 中「利便性を損なわずに」の部分は「iPhone らしいデザインを損なわずに」と書く方が適切でした)。
なので、他の要素を無視して安全性だけ考えるなら 1 か月で修正できることでも、安全性と他の要素を両立させるために追加で多少の時間をかけることは許されると思います。「多少の時間」がどれだけかはケースバイケースでしょうけれど。
以下は #1435006 [srad.jp] への返信です。
たしかにそうですね。発見者による 7 月の注意喚起は迅速かつ的確で、これが広く知られていれば修正前に詳細を公表する必要もなかったのではないかと思うので、そうならなかったことが残念です。
Re: (スコア:0)
urlの話は最初それが何で脆弱性なのかぐらいに思ったが、発見者のblogの記事をみたら確かに深刻な話であることが分かった。この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。
(ちなみに前の人も述べてる通り、スラッシュドットの記事のurlの話はおかしい。blogの英語の内容を読み違えて書かれた記事で、appleからしたら不当に迷惑な話なので即刻修正されるべきだと思う)
画像の自動表示を切るオプションがないのも相当におかしい。今回のような情報があるおかげで、iphon
Re:感心しません (スコア:1)
お返事ありがとうございます。
セキュリティーを理解するのって難しいですからね (主観)。ただ、想像ですけど、この脆弱性の場合は、詳細情報を見て自衛しようと思う人の大半は、発見者の 7 月時点の注意喚起文を読んでいれば自衛しようと考えたのではないでしょうか。
注意喚起が利用者のところまで届かなかったという問題もあるので、それが解決できないと「発見者の 7 月時点の注意喚起文を読んでいれば」という仮定が虚しいものになってしまいますが。
#1434749 [srad.jp] はちょっと熱くなってしまいました。 Aviv Raff さんがセキュリティーホールを発見してベンダーに詳細情報を通知した後、迅速に利用者に向けて注意喚起文を発表して対策を呼びかけたのは素晴らしいと思います。それだけに、修正前に詳細情報が公開される事態になってしまったことが残念です。
それは消費者が判断することですね。発見者の 7 月の注意喚起が広く知られていれば、セキュリティーホールの修正に時間がかかりすぎかどうかを消費者が判断するための材料は揃っていたように思うので、やっぱり注意喚起が広く知られるようにならなかったことが悔やまれます。個人的には、告知から 2 ヶ月半というのはそこまで言うほど長いかなあ、という疑問があります。これを使った攻撃が確認されているわけでもないようですし。
Apple がそういう選択をするとしたら個人的には嫌ですね。知人が iPod touch を使っていて、無線 LAN のホットスポットでの使い勝手が良さそうだったので、 iPhone にはものすごく期待しています。 Apple には、安定性・安全性といった基本的な要件は余裕でクリアした上で、見た目も良く使っていて気持ちが良い携帯情報端末を作ってほしいです。過ぎた期待かもしれませんけど。
公表 (スコア:1, すばらしい洞察)
このくらいの内容だと、パッチが出る前に広く知らせちゃった方が安全は高まるよね。
Re:公表 (スコア:1, すばらしい洞察)
・携帯電話のメールアドレスがスパマーに知られてしまう
・セキュリティを意識して「URLバーを確認!」していても偽サイトに誘導される
どちらもかなり脅威度の高い脆弱性だと思うんですが。
「人と違う」脆弱な携帯電話を持つのが好きな方ですか?
Re:公表 (スコア:1, 興味深い)
Re: (スコア:0)
一番やばそうなのは、金融系サイトの偽ログインページに誘導されて
暗証番号を盗まれるというケースだけど…
ブックマークや公式サイト以外を経由して行く限り、
今回の手法では引っかからんと思うし。
Re:公表 (スコア:1, すばらしい洞察)
携帯は今年から、契約者固有ID通知をしてますから下手をすると携帯所有者の特定まで出来ますよ。
被害なんてもんじゃないですね。
携帯の契約者固有ID通知開始はどんな危険があるのか? [hatena.ne.jp]
#もしかしてまだご存じない?
iPhoneユーザの俺勝ち組? (スコア:1)
こんなクソな制度が始まっていたなんて…。
Re: (スコア:0)
Re: (スコア:0)
被害に遭っているような人達は、そんなことは(クリック前にリンクのジャンプ先のURLを確認するなんてことは)やっていないので、今回の「脆弱性」があろうとなかろうと関係ないです。
Re:公表 (スコア:1)
あと、<a href="..."><img .../></a>なリンクのリンク先が確認できないのも問題だと思う。
以前はできたけど、今は「画像を保存する」「リンク先を表示する」「キャンセル」のダイアログしか出ない。
Re:公表 (スコア:1)
>
>あと、<a href="..."><img .../></a>なリンクのリンク先が確認できないのも問題だと思う。
>以前はできたけど、今は「画像を保存する」「リンク先を表示する」「キャンセル」のダイアログしか出ない。
「リンク先を表示」できるんなら問題無いのでは?
Re: (スコア:0)
リンク先を表示ではなく,「リンク先を表示」と書かれたボタンが出るんです.
ボタンを押すとリンク先に飛ぶ,と.
#「別ウィンドウでリンク先を表示」が欲しいiPhoneユーザ
Re: (スコア:0)
Re: (スコア:0)
『某女優の流出動画.avi .exe』みたいなものでしょう。
もちろんexe実行よりも危険度は少ないです。 しかしメールを受け取った人がリンク先に飛ぶ確率は増え、その分フィッシング詐欺に引っかかる人の割合も多くなるのは十分問題かと。
Re: (スコア:0)
たぶん。
画像自動読み込みOFF機能が欲しい (スコア:1)
『3G網のトラフィック軽減のため』実装お願いします。
# といえば対応してもらいやすいだろうか。
Re:画像自動読み込みOFF機能が欲しい (スコア:1)
と孤独なACからDisられることを予想した。
Re: (スコア:0)
ていうか、招待制SNSとSNS全般を混同してないかい?
友達いなくたってSNSを使うことは出来るさ。
# mixiでは不定期にマイミク切って常時50人以下にしてるのでAC
Re: (スコア:0)
パケット料を稼ぐため、それには応じられません。
# とか返事が返ってきたら嫌だな。
--
普段、 Firefox + AdBlock Plus で見ているサイトを iPhone の Safari で見て、
いつの間にか広告てんこ盛りなサイトになっているのを知って笑った AC
これをきっかけに圧力を! (スコア:0)
競合するアプリは審査を通らないとか。
この脆弱性を理由に制限解除を求めては?
# というか、PUSH機能が他のアプリから使えるようになれば
# 解放されるのかもしれないが・・・
Re: (スコア:0)
仕上がりがぬるすぎるんだよな~。
#まずとりあえずコピペさせろ。
Re:これをきっかけに圧力を! (スコア:1)
少なくともうちでは無線LAN環境下でメールチェックできないのをなんとかして欲しいところ。
xcodeのオーガナイザで見ると、コンソールに山のようにエラーログが残ってる。
iTunesにつなぐと「クラッシュレポートを提出してください~」なメッセージが出て、素直に提出してるけど役に立ってるんだろうか。
2.1のアップデートで改善を期待してたら、周りでは逆に不調になったという感想が出てくる始末。
しっかり仕事してくださいよ>Appleさん
Re: (スコア:0)
結果、AppStoreのおかげで脆弱性のあるソフトしか選択肢がないとは皮肉だ。
Re: (スコア:0)
どういう審査基準なのかも分からないのに
AppStoreのおかげで安全と妄信できる人を
ある意味凄いと思うな。
Re:これをきっかけに圧力を! (スコア:1, おもしろおかしい)
教祖様の説教を信じずに何を信じるのか
Re: (スコア:0)
Re: (スコア:0)
1ヶ月待ちがざら [fladdict.net]ってどうよ
Re: (スコア:0)
ということは予め書かれていることだし、昔からの常識
なので、良く読まずに日本語で登録・使用した方が悪い。
USのスタッフのほんとんどは日本語を読めるはずも無い。
Re: (スコア:0)
>ということは予め書かれていることだし、昔からの常識
>なので、良く読まずに日本語で登録・使用した方が悪い。
>USのスタッフのほんとんどは日本語を読めるはずも無い。
ですね。
なにせ日本語版OSでの動作チェックをせずに商品を発売するような会社ですからね。
通るよ (スコア:0)
Web Bug (スコア:0)
> ダウンロードしてしまうというもの。
appleからのメールって昔からWebBugつきだよね。
自動ダウンロードがオフにできたら、情報収集できなくなる可能性が増えるから、
appleとしては絶対に直さないでしょうね。
Re: (スコア:0)