パスワードを忘れた? アカウント作成
37090 story
携帯電話

iPhoneのMailに2つの脆弱性 37

ストーリー by hylom
回避不可能 部門より

hide.jikyll 曰く

iPhoneのデフォルトMUAであるMailに2つの脆弱性があることが明らかにされた(The Registerの記事)。1つ目はHTMLメールに埋め込まれている画像を自動的にダウンロードしてしまうというもの。スパムメールやフィッシングメールに含まれる画像がダウンロードされることで、そのメールアドレスが生きていることがメールの送信者に知られてしまう。iPhoneのMailでは画像の自動ダウンロードを無効にすることができない。

2つ目はMailとiPhone版Safariの両方にある、長いURLを端折って表示する機能。これを悪用するとフィッシングサイトを正当なサイトであるかのようにユーザーに見せかけることができるという。たとえば、「http://securelogin.facebook.com.avivraff.com/……」というURLが埋め込まれたリンクをポイントするとiPhoneの画面には「http://securelogin.facebook.com/……」のように表示されてしまう。

発見者のAviv Raff氏は2カ月以上前にAppleに問題の存在を伝えてあり、しかもその後3度もセキュリティアップデートが行われているにもかかわらず、上記の問題は修正されていないという。Raff氏は、Appleがパッチをいつごろ提供するのか返答することを拒否したため、問題を公表することにしたそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 感心しません (スコア:5, すばらしい洞察)

    by fcp (32783) on 2008年10月09日 11時48分 (#1434749) ホームページ 日記

    発見者である Aviv Raff さんのブログ記事 [raffon.net]を読みました。

    今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。

    感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気がないと考えるのは早計だったのではないかと思います。

    利用者側の対策のためには、7 月の時点の注意喚起文 [raffon.net]以上の情報は不要だったように見えます。ただし、これだけでは世間の関心が不十分だった可能性があり、同じ内容の注意喚起を言葉を変えて何度もする必要があったかもしれませんけど。

    自分で見つけた脆弱性をどう使おうが、ある意味では自由ですけど、自由を無駄遣いする人はそのうち痛い目を見ると思います。

    それと、当該製品の開発に関わっていない人に

    Both issues are pretty trivial, and can be easily fixed by Apple.

    とか言ってほしくありません。利便性を損なわずに直すのが難しいかもしれませんし、これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。「すぐ直せるのにすぐに直さないのは直す気がないからだ」という勝手な推測で重要なセキュリティーホールの詳細を修正前に公表しないでほしいです。

    ところで、細かいことですが、スラッシュドットの記事の次の部分には誤りがあります。

    たとえば、「http://securelogin.facebook.com.avivraff.com/……」というURLが埋め込まれたリンクをポイントするとiPhoneの画面には「http://securelogin.facebook.com/……」のように表示されてしまう。

    スラッシュがないところにいきなりスラッシュが現れたりはしません。発見者のブログや The Register の記事にある例では、 http://securelogin.facebook.com.avivraff.com/reset.php?cc=534a556abd10... [avivraff.com] へのリンクが「securelogin.facebook.com....556abd1006&tt=1212620963」と表示されています。スクリーンショットの「http://securelogin.facebook.com/...」と書かれた部分は、リンク先のアドレスではなく単にアンカー文字列を表しています。

    • by ysmn (26655) on 2008年10月09日 16時47分 (#1434937)
      > もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。

      iPhoneユーザーですが、危険を知らせてもらえてありがたいと思っています。

      > 修正予定時期を明言しないからって、修正する気がないと考えるのは早計

      よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。

      > 利便性を損なわずに直すのが難しいかもしれませんし、
      > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって
      > 後回しになっているのかもしれませんし、

      原則として、安全性は利便性に優先すると思います。

      #まさにApple(Jobs)の「傲慢」という暗黒面が発動中だな…。
      親コメント
      • by ysmn (26655) on 2008年10月09日 18時11分 (#1435006)
        すみません。元コメをちゃんと読んでませんでした。
        7月の注意喚起と対策の告知を徹底していれば
        確かに、アップルに圧力をかけること以外に
        詳細を公表する必然性はありませんね。

        ただし、告知の徹底はアップルがやるべき。
        親コメント
      • お返事ありがとうございます。

        > 修正予定時期を明言しないからって、修正する気がないと考えるのは早計

        よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。

        たしかに、そういう実際に Apple とやりとりした発見者しか知らない情報をもとに公表を決めた可能性はありますね。

        > 利便性を損なわずに直すのが難しいかもしれませんし、
        > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって
        > 後回しになっているのかもしれませんし、

        原則として、安全性は利便性に優先すると思います。

        そうですが、あくまでも原則です。 iPhone はそのデザインで評価されているので、安全性のための修正を適用することで iPhone らしいデザインが崩れてしまっては多くのユーザーが納得しないと思います (利便性で評価されているかどうかは知らないので、僕の #1434749 [srad.jp] 中「利便性を損なわずに」の部分は「iPhone らしいデザインを損なわずに」と書く方が適切でした)。

        なので、他の要素を無視して安全性だけ考えるなら 1 か月で修正できることでも、安全性と他の要素を両立させるために追加で多少の時間をかけることは許されると思います。「多少の時間」がどれだけかはケースバイケースでしょうけれど。

        以下は #1435006 [srad.jp] への返信です。

        ただし、告知の徹底はアップルがやるべき。

        たしかにそうですね。発見者による 7 月の注意喚起は迅速かつ的確で、これが広く知られていれば修正前に詳細を公表する必要もなかったのではないかと思うので、そうならなかったことが残念です。

        親コメント
    • by Anonymous Coward
      人それぞれだと思うが、私がiphoneユーザーだったら感謝すると思う。

      urlの話は最初それが何で脆弱性なのかぐらいに思ったが、発見者のblogの記事をみたら確かに深刻な話であることが分かった。この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。

      (ちなみに前の人も述べてる通り、スラッシュドットの記事のurlの話はおかしい。blogの英語の内容を読み違えて書かれた記事で、appleからしたら不当に迷惑な話なので即刻修正されるべきだと思う)

      画像の自動表示を切るオプションがないのも相当におかしい。今回のような情報があるおかげで、iphon
      • お返事ありがとうございます。

        この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。

        セキュリティーを理解するのって難しいですからね (主観)。ただ、想像ですけど、この脆弱性の場合は、詳細情報を見て自衛しようと思う人の大半は、発見者の 7 月時点の注意喚起文を読んでいれば自衛しようと考えたのではないでしょうか。

        注意喚起が利用者のところまで届かなかったという問題もあるので、それが解決できないと「発見者の 7 月時点の注意喚起文を読んでいれば」という仮定が虚しいものになってしまいますが。

        #1434749 [srad.jp] はちょっと熱くなってしまいました。 Aviv Raff さんがセキュリティーホールを発見してベンダーに詳細情報を通知した後、迅速に利用者に向けて注意喚起文を発表して対策を呼びかけたのは素晴らしいと思います。それだけに、修正前に詳細情報が公開される事態になってしまったことが残念です。

        > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。

        こんなことはさすがにないだろうとは思うが、これが仮に事実だとしたら、そんな危険な製品は市場から駆逐されるべきだろう。いずれにしろセキュリティーのfixに時間がかかりすぎる会社の製品など買うべきでも使い続けるべきでもない。

        それは消費者が判断することですね。発見者の 7 月の注意喚起が広く知られていれば、セキュリティーホールの修正に時間がかかりすぎかどうかを消費者が判断するための材料は揃っていたように思うので、やっぱり注意喚起が広く知られるようにならなかったことが悔やまれます。個人的には、告知から 2 ヶ月半というのはそこまで言うほど長いかなあ、という疑問があります。これを使った攻撃が確認されているわけでもないようですし。

        # もっとも、今回の脆弱性をappleは直す気がないように私には思えるが。。。直すと見た目を損ないそうだし、そういう修正をしないというのも、企業としてのひとつの方向だろうとは思う。

        Apple がそういう選択をするとしたら個人的には嫌ですね。知人が iPod touch を使っていて、無線 LAN のホットスポットでの使い勝手が良さそうだったので、 iPhone にはものすごく期待しています。 Apple には、安定性・安全性といった基本的な要件は余裕でクリアした上で、見た目も良く使っていて気持ちが良い携帯情報端末を作ってほしいです。過ぎた期待かもしれませんけど。

        親コメント
  • 公表 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年10月08日 18時16分 (#1434347)

    Raff氏は、Appleがパッチをいつごろ提供するのか返答することを拒否したため、問題を公表することにしたそうだ。

    このくらいの内容だと、パッチが出る前に広く知らせちゃった方が安全は高まるよね。

    • Re:公表 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2008年10月08日 18時42分 (#1434366)
      > このくらいの内容
      ・携帯電話のメールアドレスがスパマーに知られてしまう
      ・セキュリティを意識して「URLバーを確認!」していても偽サイトに誘導される
      どちらもかなり脅威度の高い脆弱性だと思うんですが。

      「人と違う」脆弱な携帯電話を持つのが好きな方ですか?
      親コメント
      • Re:公表 (スコア:1, 興味深い)

        by Anonymous Coward on 2008年10月08日 19時09分 (#1434389)
        通常の画面にアドレスバーも、アンカー部のリンク先も確認できない携帯電話のほうが危険だと思ふ。
        親コメント
        • by Anonymous Coward
          携帯で変なURLを踏んだ所で、被害はたかが知れてる気が…

          一番やばそうなのは、金融系サイトの偽ログインページに誘導されて
          暗証番号を盗まれるというケースだけど…
          ブックマークや公式サイト以外を経由して行く限り、
          今回の手法では引っかからんと思うし。
          • Re:公表 (スコア:1, すばらしい洞察)

            by Anonymous Coward on 2008年10月09日 14時16分 (#1434856)
            >携帯で変なURLを踏んだ所で、被害はたかが知れてる気が…

            携帯は今年から、契約者固有ID通知をしてますから下手をすると携帯所有者の特定まで出来ますよ。
            被害なんてもんじゃないですね。

            携帯の契約者固有ID通知開始はどんな危険があるのか? [hatena.ne.jp]

            #もしかしてまだご存じない?
            親コメント
          • by Anonymous Coward
            今回の手法に引っかかる人がいなければ、PCでの被害もたかが知れてるハズです
            • by Anonymous Coward

              今回の手法がに引っかかる人がいなければ、PCでの被害もたかが知れてるハズです

              被害に遭っているような人達は、そんなことは(クリック前にリンクのジャンプ先のURLを確認するなんてことは)やっていないので、今回の「脆弱性」があろうとなかろうと関係ないです。

      • by ruto (17678) on 2008年10月08日 20時03分 (#1434414) 日記
        URLバーじゃなくて、リンクを長押ししたときに表示されるリンク先です。

        あと、<a href="..."><img .../></a>なリンクのリンク先が確認できないのも問題だと思う。
        以前はできたけど、今は「画像を保存する」「リンク先を表示する」「キャンセル」のダイアログしか出ない。
        親コメント
        • by nemui4 (20313) on 2008年10月09日 16時13分 (#1434915) 日記
          >URLバーじゃなくて、リンクを長押ししたときに表示されるリンク先です。
          >
          >あと、<a href="..."><img .../></a>なリンクのリンク先が確認できないのも問題だと思う。
          >以前はできたけど、今は「画像を保存する」「リンク先を表示する」「キャンセル」のダイアログしか出ない。

          「リンク先を表示」できるんなら問題無いのでは?

          親コメント
          • by Anonymous Coward
            > 「リンク先を表示」できるんなら問題無いのでは?

            リンク先を表示ではなく,「リンク先を表示」と書かれたボタンが出るんです.
            ボタンを押すとリンク先に飛ぶ,と.

            #「別ウィンドウでリンク先を表示」が欲しいiPhoneユーザ
      • by Anonymous Coward
        そう主張するなら、具体的に何かしらの、公開されている基準に基づいて「驚異度が高い」と書くべきでは?
        • by Anonymous Coward
          > そう主張するなら、具体的に何かしらの、公開されている基準に基づいて「驚異度が高い」と書くべきでは?
          『某女優の流出動画.avi .exe』みたいなものでしょう。
          もちろんexe実行よりも危険度は少ないです。 しかしメールを受け取った人がリンク先に飛ぶ確率は増え、その分フィッシング詐欺に引っかかる人の割合も多くなるのは十分問題かと。
      • by Anonymous Coward
        このくらいの(修正が簡単そうな)内容だから、公表してフィッシングの嵐を起こして大騒ぎにしてアップルに問題修正を強いたほうが、安全性は高まるって意味なんだよ。一部脆弱性に気づいたフィッシンググループが細々とフィッシングしつづけるよりかはマシ。

        たぶん。
  • 広告が山のように表示されるどこぞのSNSサイトとか使いにくくて仕方ないです。
    『3G網のトラフィック軽減のため』実装お願いします。

    # といえば対応してもらいやすいだろうか。
    • SNS使ってる俺は友達いるんだどうだ偉いだろう! と言いたいだけだろ
      と孤独なACからDisられることを予想した。

      親コメント
      • by Anonymous Coward
        大丈夫。スラドとか2chで孤独なACを刺激するのはmixiの名前を出した時だから、「どこぞのSNS」なら全く問題なし。

        ていうか、招待制SNSとSNS全般を混同してないかい?
        友達いなくたってSNSを使うことは出来るさ。

        # mixiでは不定期にマイミク切って常時50人以下にしてるのでAC
    • by Anonymous Coward

      パケット料を稼ぐため、それには応じられません。

      # とか返事が返ってきたら嫌だな。

      --
      普段、 Firefox + AdBlock Plus で見ているサイトを iPhone の Safari で見て、
      いつの間にか広告てんこ盛りなサイトになっているのを知って笑った AC

  • by Anonymous Coward on 2008年10月08日 18時20分 (#1434351)
    AppStoreのアプリではMail.appに
    競合するアプリは審査を通らないとか。

    この脆弱性を理由に制限解除を求めては?

    # というか、PUSH機能が他のアプリから使えるようになれば
    # 解放されるのかもしれないが・・・
    • by Anonymous Coward
      そう言うでかい態度を取る割には、Mail.appって
      仕上がりがぬるすぎるんだよな~。

      #まずとりあえずコピペさせろ。
      • 同意。
        少なくともうちでは無線LAN環境下でメールチェックできないのをなんとかして欲しいところ。
        xcodeのオーガナイザで見ると、コンソールに山のようにエラーログが残ってる。
        iTunesにつなぐと「クラッシュレポートを提出してください~」なメッセージが出て、素直に提出してるけど役に立ってるんだろうか。

        2.1のアップデートで改善を期待してたら、周りでは逆に不調になったという感想が出てくる始末。

        しっかり仕事してくださいよ>Appleさん
        親コメント
    • by Anonymous Coward
      どこぞの元Win95開発者はAppStoreのおかげでiPhoneは安全だとか言って炎上してたけど
      結果、AppStoreのおかげで脆弱性のあるソフトしか選択肢がないとは皮肉だ。
      • by Anonymous Coward
        そのどこぞのブログを見ています。

        どういう審査基準なのかも分からないのに
        AppStoreのおかげで安全と妄信できる人を
        ある意味凄いと思うな。
    • by Anonymous Coward
      噂だけですからねぇ。審査基準をまずは公開して貰うことでしょう。
      • by Anonymous Coward
        審査基準もそうだけど、審査通ったやつは早くApp Storeに載せてあげろよ、と思う
        1ヶ月待ちがざら [fladdict.net]ってどうよ
        • by Anonymous Coward
          そもそもADCのアカウントに日本語を使っては行けない
          ということは予め書かれていることだし、昔からの常識
          なので、良く読まずに日本語で登録・使用した方が悪い。
          USのスタッフのほんとんどは日本語を読めるはずも無い。
          • by Anonymous Coward
            >そもそもADCのアカウントに日本語を使っては行けない
            >ということは予め書かれていることだし、昔からの常識
            >なので、良く読まずに日本語で登録・使用した方が悪い。
            >USのスタッフのほんとんどは日本語を読めるはずも無い。

            ですね。
            なにせ日本語版OSでの動作チェックをせずに商品を発売するような会社ですからね。

    • by Anonymous Coward
      ほら [apple.com]。政治力さえあれば。
  • by Anonymous Coward on 2008年10月09日 11時17分 (#1434728)
    > 1つ目はHTMLメールに埋め込まれている画像を自動的に
    > ダウンロードしてしまうというもの。
    appleからのメールって昔からWebBugつきだよね。
    自動ダウンロードがオフにできたら、情報収集できなくなる可能性が増えるから、
    appleとしては絶対に直さないでしょうね。
    • by Anonymous Coward
      Mac OS X Leopard 付属の Mail.app では、画像はボタンを押すまでロードしないのが、標準設定です。
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...