ふみぃ~.何だか虚しい・・・
iPhoneだけじゃなくiPod touchでも重要な話です.

少し前のMacDailyNewsにiPhoneのmalwareの話が載っていました.
これによると,iPhoneのmalwareが出現する確率は80-90%となっています.

iPhoneの場合は携帯電話ですから,基本的な使い方をしていれば多くの個人情報を含んでいます.
さらに,ものすごい数のユーザが同一システムで動く端末を使用していることを考えてもmalwareの格好の標的になり得ます.
しかも,OSはMac OS X,ブラウザはSafariを載せていることからMacでのノウハウが流用される可能性もあります.

上記の記事にもmalwareの出現は避けられないと書いてありますが,実際のところ80-90%どころじゃなく,ほぼ間違いなくそのうち出現するでしょう.

ITmediaに「侵入テストツールでiPhoneハッキングに成功」という記事が載っていて,悪用されている脆弱性には既にパッチが公開されているのですが(詳細),このツールを使うとiPhoneに保存されている情報をすべてダウンロードできるそうです.

仕組みが分かってやってる人はご存じだと思いますが,JailbreakはiPhoneが脆弱性を持っているからこそシステムにアクセス可能なソフトウェアが組み込まれるわけですし,Jailbreakしたために生じるリスクもあります.
今までセキュリティのことはあまり触れてこなかったのでついでに書いておきます.

まず,上記のハッキングの時に使われたImageIOについては,ファームウェア1.1.2では修正されています.
Jailbreakしない方は普通にiTunesからアップデートすれば,この脆弱性は修正されます.

すでにJailbreakされている方は,その方法によって状況が異なっていて,最新の方法で使用されているWebサイト経由でJailbreakする方法なら途中からは脆弱性を修正するパッチが含まれるようになったので,最近Jailbreakされた方や1.1.2にアップデートされている方はセキュアになっていると思います.
かなり以前にJailbreakされて1.1.1のままの方は,Installer.appのTweaks (1.1.1)にTIFF Exploit Fixというパッチがあるので,それをインストールすれば脆弱性が修正されます.

また,この脆弱性に関してのみですが,セキュアになっていることを確認するためには,Jailbreakの最初のステップでSafariが落ちるURLにアクセスして小さい「?」が表示されれば大丈夫です.(←このURLにアクセスするだけではJailbreakされるところまでは行きませんが,自動的にJailbreakするためのスクリプトが含まれているサイトの方は脆弱性が残っている場合は引き続きJailbreakされてしまうので,Jailbreakせずに使用したい方は確認のために使用しないでください.この記事にはそのサイトのURLは貼ってません.)

それと,Jailbreakすることによって生じるリスクですが,多くの場合にインストールされているSSHをデフォルトのパスワードのままで使用していると不正アクセスされる可能性があります.
パスワードを変更するにはiPhoneのターミナルソフトかSSH接続経由で“passwd”と入力して,新しいパスワードを設定するだけなので,変更しておくことをオススメします.
ユーザはrootとmobileの二つです.
なお,私の環境ではパスワードを変更しても,iTunesでのアップデートや1.1.2でのJailbreakには支障を来しませんでした.

あとは,普段あまりSSH接続しないのであれば,SSHのコントローラやServicesというアプリケーションからSSHのON/OFFを切り替えることが出来るので,OFFにしておいた方がリスクを減らすことが出来ます.
Date:2007/11/22(Thu) 12:54:08
iPod/iPhone | Edit | Comment:0 | Trackback:0
Comment
Posted Comment
Comment to This Entry
URL:
Comment:
Pass:
Secret: 管理者にだけ表示を許可する
 
Trackback
Trackback URL
http://doubleko.blog18.fc2.com/tb.php/3113-d366470d
この記事にトラックバックする(FC2ブログユーザー)
Trackback

Powered by FC2. Designed by Double KO.