iOS13やmacOS Catalinaで、SafariのWebページ閲覧履歴などの情報が盗み見される可能性のあるセキュリティ上の問題が発見された、とサイバーセキュリティ研究者が報告しています。
iOS14、macOS Big Surでは修正されている模様
サイバーせキュリティサービスのRedteamは、iOS13やmacOS Catalinaに、Safariでページを共有する機能を使うとシステム内部の情報が読み取られる脆弱性を発見した、と報告しています。
原因はSafariでWebページをメールやAirDropなどを使って簡単に共有できるWeb Share APIの問題で、iOS13.4.1、iOS13.6、macOS Mojave、macOS Catalinaで存在が確認されている、とのことです。
なお、米メディア9to5Macは、iOS14とmacOS Big Surのベータで試したところ、問題は修正されているようだ、と報じています。
Web閲覧履歴などを含むデータが送信されるデモ動画
Redteamの研究者は、ユーザーの操作が必要になるためさほど深刻ではないものの、ユーザーに気付かれないようにファイルを共有させることも可能であるため、注意が必要だと呼びかけています。
問題を解説した以下の動画では、Webページに表示された子猫の写真下にあるボタンを押してメールで共有すると、メールの受信者に閲覧履歴などが含まれたファイル「HIstory.db」が送信される様子を示しています。
開発者のマキシミラノ・ファートマン氏は、Safariの閲覧履歴が並ぶ「HIstory.db」のスクリーンショットをツイートしています。
OMG! This is Safari's SQLite history taken out of my iPhone using WebShare API. Safari (iOS-iPadOS-macOS) accepts file protocol in URL, so apps attach that file. Apple said it won't solve this security hole this year. More dangerous files can be shared.https://t.co/raQAAGpNQi pic.twitter.com/tw4xHKtTuY
— Maximiliano Firtman (@firt) August 25, 2020
2020年4月に問題を発見、Appleに報告済み
問題を発見したRedteamは、2020年4月に問題を発見した直後にAppleに報告し、Appleから調査を行うとの返答を受けたそうです。
8月に入ってRedteamがAppleに進捗状況を尋ねたところ、Appleからは2021年春のアップデートで修正する予定であり、まだ問題の詳細は公開しないで欲しいとの連絡があったとのことです。
しかし、報告から修正までの期間が1年以上というのは不当に時間がかかっていると考えて公開に至った、とRedteamは説明しています。
Source:Redteam.pl, 9to5Mac
Photo:Apple
(hato)
