Appleは7日、iOSの最新アップデートとなる「iOS 5.1.1」を公開した。対象は、iPhone 4S/4/3GS、iPad 2/iPad、iPod touch(第4・第3世代)。
iOS 5.1.1では、Safariで1項目(CVE番号ベースで1件)、WebKitで2項目(CVE番号ベースで計3件)の脆弱性を修正した。Safariの脆弱性は、ロケーションバーに表示するURLを偽装できるというもの。WebKitは、細工をした悪意のあるサイトを訪問することで、クロスサイトスクリプティング(XSS)が発生する恐れのある脆弱性と、メモリ破壊により予期せずにアプリが終了したり、任意のコードを実行される恐れのある脆弱性だ。
iOS 5.1.1ではこのほか、一定の状況下でビデオのAirPlay再生に影響を及ぼす問題、新しいiPad(第3世代iPad)で2G/3Gネットワーク切り替えができない問題、iMessageで絵文字が正しく表示されない問題などのバグ修正や、"画面をロック"ショートカットを使用して撮影される写真にHDRオプションを使用する際の信頼性向上、Safariブックマークとリーディングリストの同期の信頼性向上も含まれているとしている。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120508_531223.html
マカフィーは2012年4月3日、BYOD(私物デバイス活用)を可能にするモバイル端末向けセキュリティ管理ソフトの新版「McAfee Enterprise Mobility Management (EMM) 10.0」を発表した。同日より提供を開始する。
EMMは、従業員のモバイル端末から企業のモバイルアプリケーションへのアクセスを安全にし、認証を可能にする管理ソフト。新版の10.0では、個人のメールボックスから社内メールへの転送を防ぐiOS対応の「サンドボックス機能」や、社内データのiCloudへの移動を防ぐ「Block iCloud Backup」などが備わっている。また、管理者がAndroidおよびiOS対応の「Application Blacklist」を使ってアプリケーションを定義し、アクセスをブロックすることや、信頼できないSSL証明書をブロックすることも可能だ。
1つのEMMサーバーで1万5000台までのデバイスを管理できる。価格は、11~25ライセンスの場合で1ライセンスあたり1万7720円(初年度のサポート料を含む)。ライセンス数に応じて単価が下がり、1万ライセンスを超える場合は1ライセンスあたり8860円(同)となる。
ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20120403/389042/
昨年10月に開催されたマカフィーのセキュリティカンファレンス「FOCUS」にて、McAfee Labs(マカフィー ラボ)のメンバーは、マルウェアをはじめとした、セキュリティ脅威に関するいくつかの講演を行いました。なかでも注目を集めたデモンストレーションは、iPadのハッキングでした。
このデモでは、ユーザーが自分のメールにアクセスするところをリモートから覗くことができ、さらにカフェや空港といったパブリックスペースにあるような、保護されていない無線インターネット接続を介してiPadにアクセスし、リモート操作することにも成功しました。
iPadに存在するこの脆弱性には、既に修正プログラムが適用されていますが、今回のハッキングに使用されたツールは、携帯電話やタブレットのジェイルブレイク(脱獄)にも使用されています。
ジェイルブレイクは、アップルや提携する通信業者がiOSで動作するデバイスに設定した制限を解除するプロセスです。ジェイルブレイクしたiPhoneやiPadはアップルのセキュリティを回避し、海賊版を含んだ、無認可のストアが提供するアプリケーションをダウンロードできるようになります。
ジェイルブレイクと同じく、ルーティングはAndroid OSで動作する携帯電話やタブレットに設定されている制限を解除するプロセスを指します。
一部のユーザーにとって、携帯端末のジェイルブレイクやルーティングは、ある意味便利なものかもしれません。しかし気をつけなければならないのは、ジェイルブレイクやルーティングを行えば、デバイスが脆弱な状態になり、悪用される危険性があるということです。
私たちはみな、以下の方法によって、自分で自分の身を守らなければならないということがわかります:
・破られにくいパスワードを使ってデバイスにロックをかける。
・携帯端末には必ず、マルウェアや盗難防止の対策を行う。
・公共のWi-Fi接続を利用するときは十分に注意をする。
・今自分がオンラインで何をしているか、また、それはどの程度危険かを認識しておく。
以下から、このデモ・ハッキングの全容を記したレポートがダウンロード可能です。
http://www.mcafee.com/japan/security/rp_ipad_hack.asp
McAfee Blog
http://ascii.jp/elem/000/000/679/679816/
Appleが7日に公開したiPhone/iPod touch/iPad向けOSの最新バージョン「iOS 5.1」では、新機能の追加のほか、多数の脆弱性の修正も行われている。
脆弱性の修正が行われたコンポーネントは、WebKit、Safari、Siri、パスコードロック、CFNetwork、HFS、カーネル、libresolv、VPNで、CVE番号ベースで合計81件に上る。
81件のうち73件が、WebKitの脆弱性。クロスサイトスクリプティング攻撃を受けたり、Cookieの漏えい、メモリ破壊により予期せずにアプリケーションが終了し任意のコードを実行させられる恐れがあるものだ。Safariの脆弱性は、プライベートブラウジングで使っていても履歴が記録されてしまう場合があったという。
Siriの脆弱性は、ロック画面の裏でMailのメッセージを開いており、ロック状態でもSiriが有効な設定にある場合、Siriコマンドでそのメッセージを任意の受取人に送信できるというもの。また、パスコードロック画面を回避される問題も修正している。なお、これらを悪用するには、いずれも物理的にデバイスを操作する必要がある。
このほか、カーネルの脆弱性は、悪意あるプログラムがサンドボックスを回避できてしまうというもの。ファイルシステムのHFSでは、細工を施されたディスクイメージをマウントすると、デバイスをシャットダウンされたり任意のコードを実行される脆弱性を修正している。
InternetWatch
http://internet.watch.impress.co.jp/docs/news/20120309_517680.html
米トレンドマイクロは2012年2月6日、iPhoneやiPadで人気の無料ゲームアプリ「Temple Run」のAndroid版をかたる悪質なアプリが、Androidマーケットで確認されたとして注意を呼びかけた。インストールすると、広告などを勝手に表示する。現在は削除済み。
Temple Runは、無料で提供されているアクションゲーム。人気があるものの、現在公開されているのはiOS版のみ。開発元では、Android版を2012年2月に公開するとしている。
今回、トレンドマイクロでは、この人気に便乗した偽アプリを確認した。アプリ名は「Temple Run Free」(図1)。本物の開発元は「Imangi Studios」だが、偽アプリの開発元はこれとは異なる。
偽アプリをインストールすると、広告サイトへ誘導するためのショートカットが、ホームスクリーン上に生成される。
ゲームを始めようとすると、Facebookと連携するアプリがインストールされている場合には、この偽アプリを知り合いに紹介する(シェアする)よう求めるダイアログが表示される(図2)。
さらに、同アプリをAndroidマーケットで評価するよう求めるダイアログも表示される。求められたアクションを実施すると、Android端末上に広告を表示した後、ゲームを開始する代わりに「お知らせ画面」を表示する(図3)。
このお知らせ画面には、「残念ながらAndroid版は、まだ公開されていません。公開までのカウントダウンを表示します」といった内容の英文が書かれている。
トレンドマイクロでは、米グーグルに報告。問題のアプリは、Androidマーケットからすぐに削除されたという。
日経パソコン
http://pc.nikkeibp.co.jp/article/news/20120207/1040983/
今のところ、iPhone/iPad/iPod TouchなどのiOSでは「基本」ウィルスの心配はない。「基本」というのは、アプリの入手方法がApp Storeを通しているため、安全なアプリが私たちのiPhoneに届くため(脱獄していると感染の危険性が高まる)。
しかし、iPhoneとパソコンでデータのやり取りをすることが多い昨今、メールの添付ファイルやファイル共有アプリにあるファイルのやり取りが原因で、Mac/Windows用のウィルスを撒き散らす可能性がある。
そこで、メールの添付ファイルやDropBoxなどのファイルをスキャンしてくれるiPhone用ウィルスチェックソフト『VirusBarrier』がオススメ。
APP Storeで250円で販売中。
米Appleは10日、「iOS 5.0.1」ソフトウェアアップデートをリリースした。iPhone 4S/4/3GS、iPad 2/iPad、iPod touch(第3・第4世代)が対象となる。
今回のアップデートでは、指摘されていたバッテリーの異常消耗問題が解決されたとしている。
バッテリー問題以外にも6件のセキュリティ上のバグを修正していることが公表された。この中には、フォントの脆弱性を悪用することにより、任意のコードを実行できる脆弱性も含まれており、できるだけ早めにアップデートしておきたい。
フィンランドのエフセキュア、2011年10月3日、新型「iPhone5」を餌にしたウイルスメールが出回っているとして注意を呼びかけ。メール中にあるリンクをクリックするとウイルスがダウンロードされる仕組み。
ウイルスに感染すると感染したパソコンを乗っ取りインターネット経由で攻撃者が操れるようになるもの。
当分は、新型iPhoneを餌にしたウイルスメールなどは今後も出回る可能性が高く注意が必要。
