> ニュースリリース > iOS 12.1のグループFaceTimeバグ:ロックされたiPhoneの連絡先の詳細を表示できる

iOS 12.1のグループFaceTimeバグ:ロックされたiPhoneの連絡先の詳細を表示できる

2018年11月02日| iPhoneUtility

iOS 12.1がグループFaceTimeの呼び出しを処理する方法で、iPhoneのロックをまったく解除しなくても、ハッカーがiPhoneに保存されている連絡先の詳細にアクセスできるようにするバグが発見されました。

iPhoneがロックされている間に3D Touchを使用してGroup FaceTime内でデータにアクセスできることを示す

iPhoneがロックされている間に3D Touchを使用してGroup FaceTime内でデータにアクセスできることを示す

iOS 12.1の一般公開により、iPhoneおよびiPadユーザーはグループFaceTime通話を作成することができ、既存のFaceTime機能を拡張して最大32人の発信者がビデオ会議に参加できるようになりました。この変更により発信者の制限が2つに増えても、連絡先を追加する仕組みは、iPhone自体がロックされている場合を含めて、悪用される可能性があるようです。

セキュリティ研究者のホセ・ロドリゲス(Jose Rodriguez)は、この問題を発見したと報告しています。iOS 12.1のいくつかの特徴を活用して、iPhoneのロックを解除しなくても使用できるそうです。

ビデオのデモンストレーションでは、攻撃されているiPhoneが別のiPhoneによって呼び出され、その電話に応答します。接続されると、ロドリゲスはコールをFaceTimeビデオ通話に移行し、右下のメニューで「人を追加」を選択します。

プラスアイコンをタップすると、新しいユーザーを追加するプロセスの一環としてデバイスの連絡先リストが表示されます。追加するのではなく、各連絡先で3D Touchを使用すると、電子メールアドレス、電話番号などの詳細情報が表示されます。

この攻撃自体は、iPhone XSやiPhone XS Maxを含むiOS 12.1を実行しているすべてのiPhoneで動作します。メデイアAppleInsiderはiPhone XRで同じテストを実行しようとしましたが、連絡先リストがロックされている間に持ち上げることができますが、3D Touchの欠如は余分な連絡先データが利用できないことを意味します。

ホセ・ロドリゲス氏は、ロックされたiPhoneの連絡先やその他のデータにアクセスするための他の方法を以前から発見していました。9月と10月にVoiceOverスクリーンリーダー機能とNotesアプリケーションを搭載したメソッドが公開されました。最新の発見ははるかに簡単なプロセスであり、VoiceOverをアクティブにする必要はなく、より幅広いデバイスで使用できるようになります。

Appleは今後のiOSアップデートでこの脆弱性に対する修正を行う予定ですが、ユーザーがリリースされるまでどれくらい待たなければならないかは不明です。

お問い合わせ先

iPhoneUtility: support@iphone-utility.com