iOS 5.1のSafariに脆弱性〜アドレスバーに偽のアドレスを表示可能

ios51_adress_spoofing_0.jpg

iPhone・iPod touch・iPad向けOSの最新版「iOS 5.1」に搭載されているブラウザに、セキュリティー上の脆弱性が発見されたようです。[source: The Next Web ]

問題の脆弱性は、iOS 5.1の標準ブラウザ「Safari」に含まれ、これを利用するとブラウザのアドレスバー(URLが表示される部分)を偽のURLを表示することが可能になるというもの。

この問題を指摘したMajorSecurity社のDavid Vieira-Kurz氏によると、JavaScriptの 「window.open()メソッド」をハンドルする部分に存在するエラーがその原因であるとのこと。

実際にデモ用のページも用意され、iOS 5.1を搭載したiPhone・iPod touch・iPadからアクセスすると、別のサイトにも関わらずあたかもアップルのサイトのようにURLが表示されることを確認できます。

ios51_adress_spoofing_1.jpg

サイトの信憑性を判断する上で、アドレスバーを確認するユーザーが多いと考えられ、ログインとパスワードを抜き取る手段として悪用される可能性もゼロではありません。

この脆弱性は既にアップルへ連絡済みとのころですが、近く配布されるはずのソフトウェアアップデートを適用するまでは、不用意にリンクをクリックしないように気をつけた方がよいかもしれません。