iPhoneの「Mail」と「Safari」にフィッシング攻撃の脆弱性

　セキュリティ研究者のAviv Raff氏は米国時間7月23日、「iPhone」版の「Mail」と「Safari」にはURL偽装（スプーフィング）の脆弱性があり、第三者がこれを利用してiPhoneユーザーにフィッシング攻撃を仕掛けることが可能だと報告した。

　この脆弱性は、以前から警告されていたものだ。Raff氏をはじめとする数名のセキュリティ研究者は、iPhoneが7月11日に発売される前からiPhoneの脆弱性を発見したことを示唆していたが、「iPhone 2.0」の最終版リリースまで様子を見るつもりだと述べていた。

　Raff氏によれば、偽装用のURLを作成することで、攻撃者はMail上で信頼できるサイト（金融機関やソーシャルネットワークのサイトなど）から送られてきたように見えるリンクが作れるという。ユーザーがこのリンクをクリックすると、Safariはこのフィッシングサイトを開いてしまう。この問題に影響を受けるのは、iPhone 1.1.4および2.0のユーザーだ。

　Raff氏はAppleに対してすでにこの脆弱性を通知しているが、パッチが提供されるまでは詳細を公表しないと、自身のブログの中で記している。

　対策パッチがリリースされるまで、iPhoneユーザーは「信頼できるウェブサイト（銀行、PayPal、ソーシャルネットワークなど）だとするリンクがMailで開いたメールに書かれていても、そのリンクをクリックせずに、SafariでウェブサイトのURLを直接入力してほしい」とRaff氏は警告している。

関連記事

• 「iPhone」の脆弱性を発見せよ--ハッカーと研究者の競争 - 2007/07/04 12:09:01
• セキュリティ専門家、「iPhone」実証コード2件を発表--設計に深刻な問題と指摘 - 2007/07/24 09:59:02
• アップル、iPhoneの脆弱性10件を修正 - 2007/09/28 13:59:01
• アップル、iPhoneとiPod touchのパッチをリリース--TIFF脆弱性に対応 - 2007/11/14 10:58:01
• iPhone、2008年にはセキュリティ攻撃で標的へ--セキュリティ企業が指摘 - 2007/12/14 11:41:01
• アップル、「QuickTime」「iPhone」「iPod touch」の脆弱性を修正 - 2008/01/23 22:11:01
• iPhoneのセキュリティは最新ではない--研究者が指摘 - 2008/07/04 14:52:01
• アップル、「iPhone 2.0」および「iPod Touch 2.0」ソフトウェアアップデートを発表 - 2008/07/14 10:08:01
• iPod touchのSafariに脆弱性、証明書が不正に受け入れられる可能性 - 2008/07/14 16:25:01