2022年4月1日にiOS15.4.1がリリースされ、iOS15.4アップデート済みの方が共通で抱えているクリティカルな不具合は「バッテリー消耗が激しい」ではなく、「AppleAVDの脆弱性」であることが発覚しました。
では「AppleAVDの脆弱性」とは?どのような不具合なのでしょう。
デジタル苦手な方向けに、わかりやすく解説していきます。
iOS15.4.1で修正される「AppleAVDの脆弱性」とは?
Apple公式サポート、セキュリティアップデートの情報です。
AppleAVD
対象:iPhone 6s以降、iPad Pro(全モデル)、iPad Air 2以降、iPad 5世代以降、iPad mini 4以降、iPod touch(第7世代)
影響:アプリケーションは、カーネル権限で任意のコードを実行できる可能性があります。Appleは、この問題が積極的に悪用された可能性があるという報告を認識しています。
説明:範囲外の書き込みの問題は、境界チェックを改善することで解決されました。
CVE-2022-22675: an anonymous researcher
引用元:About the security content of iOS 15.4.1 and iPadOS 15.4.1
公式サイトは英文であり、且つ専門用語なのでよくわかりませんね。
ですが、下記一文にすべてが網羅されています。
アプリケーションは、カーネル権限で任意のコードを実行できる可能性
どうやら「アプリが”カーネル?”を使って、何か悪さができる」ことまでは読み取れますね。
では、iOSにおける「カーネル」とは何者なのか?以下説明していきます。
「カーネル」とは?
iOSとアプリをつなぐ役割、つまり仲介役です。
アプリをiOSで動かせるための、iPhoneのCPUやメモリといったリソースを上手にやりくりしてくれるのが「カーネル」のお仕事です。
「AppleADV」の悪用リスクは?
メモリは、iPhoneがアプリやiOSを動作させるための処理を「一時的に覚えておく場所」です。
そのため、カーネルに対し不正なアプリが、「Face IDをスルーさせ、iPhoneに処理実行を命令することができる」悪用する側の視点に立てば、至極当然に思いつくことですね。
※上記あくまでも当サイト見解であり、悪用された根拠のない仮設ですのでご了承ください。
ご利用中のアプリ、不審な挙動していませんか?
アプリの挙動をチェックする方法としては、別記事が参考になります。
-
iPhone「アプリプライバシーレポートは必要か?」「はい、必要です」危険なアプリの見分け方
続きを見る
「カーネルの脆弱性」は2020年5月にも発生してる
実は今回に始まったものではなく、2020年5月にも「iOS13.5のカーネルには、カーネル権限でコード実行が可能となる脆弱性が存在する」不具合が発生していた情報があります。
iOS15.4→iOS15.4.1リリース間隔が短い理由は?
iOS15.4.1リリースせざるを得ない「iOS15.4起因のクリティカルな問題がある」、もはや疑いようのない事実でしょう。
つまり、iOS15.4適用済みの方はiOS15.4.1アップデート必須レベルです。
iOSヤバい不具合を明示できない理由は?
Apple公式サイトの情報です。
ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。
引用元:Apple セキュリティアップデート
「悪用を促す、助長してしまう情報なので公表できません!」このような見解ですね。
iOSアップデートはバックアップしてから
iOSアップデートに際し、ご利用環境依存の不具合はつきものです。
iTunesを使い、iOを完全バックアップしてからのiOSアップデートを推奨します。
まとめ
iOS15.4で発生していたクリティカルな不具合は、当サイトでもご案内している「バッテリー消耗が激しい」ではなく、「AppleADVの脆弱性」でした。
iOS15.4アップデート済みの方は、iOSごとバックアップの上で、できるだけ早くiOS15.4.1アップデートすることを推奨します。
当サイトの独自見解ですが、iOS15.4.1リリースのタイミングから鑑みて、「不正アプリがFace IDの認証シーケンスをバイパスして、iPhoneから個人情報を抜き取れてしまう超ヤバい不具合なのでは?」このような根拠のない邪推をしてしまうのは致し方ないことでしょう。
重要な問題であれば、もう少し「専門用語を使わず、わかりやすく説明してほしい」ものです。
--- PR ---
