iOS 9に思わぬ脆弱性。パスコードを知らなくても、ロック画面から連絡先と写真をハッキングできます
恐ろしいほど、あっさりと。
iOS 9に、思わぬ抜け穴がありました。なんと特定の手順を踏むと、ロック画面からSiri経由でiOSの端末に登録された連絡先や写真にアクセスできてしまうんです。パスコードもTouch IDも意味がありません。
簡単にできるハッキング方法
NEW iOS 9 Lockscreen Bypass - Access Photos & Contacts Without Passcode
自分のiPhoneで試しましたが、驚くほど簡単でした。
1)「スライドでロック解除」をし、でたらめでいいのでパスコードを入れます。これを4回繰り返してください。
2)5回目の入力で、4ケタ目の文字をタップすると同時にホームボタンをプッシュ。すると、Siriが起動します。
3)Siriに時間を聞くと教えてくれるので、時計のアイコンをタップします。
4)起動した時計アプリで世界時計を開き、右上にある「+」アイコン(都市の追加)を選択して検索ウィンドウに適当な文字を入力。その文字を全選択すると、メニューバーが出てくるので、「共有」を選択してメッセージ(SMS)にアクセスします(※)。
5)メッセージではiPhoneに登録された連絡先を選べます。また、ここで写真を選択すれば、カメラロールの写真を見ることもできてしまいます。
2)5回目の入力で、4ケタ目の文字をタップすると同時にホームボタンをプッシュ。すると、Siriが起動します。
3)Siriに時間を聞くと教えてくれるので、時計のアイコンをタップします。
4)起動した時計アプリで世界時計を開き、右上にある「+」アイコン(都市の追加)を選択して検索ウィンドウに適当な文字を入力。その文字を全選択すると、メニューバーが出てくるので、「共有」を選択してメッセージ(SMS)にアクセスします(※)。
5)メッセージではiPhoneに登録された連絡先を選べます。また、ここで写真を選択すれば、カメラロールの写真を見ることもできてしまいます。
※ロック画面からSiriにアクセスする設定にしている場合、上の手順を踏まなくてもここまで来られます。でも、通常ならSMSにアクセスする時点で再びパスコードを求められますが、この場合は求められません
どうすれば防げるか?
悪用しようとすれば、いくらでもできそうなセキュリティーホールですが、ハッキングを防ぐ方法は至ってシンプルです。
「設定」→「Touch IDとパスコード」→「ロック中にアクセスを許可」の中からSiriをオフにする。
これだけです。Siriを頻繁に使う人にとっては、ロック画面からSiriを使えなくなるので少し不便になるかもしれませんが、この脆弱性に対応したアップデートが出るまでは仕方がないかもしれません。
source: The Hacker News
http://thehackernews.com/2015/09/io9-hack-passcode.html
