本日早朝、最初のメジャー iOS 7.1 ソフトウェア アップデートがリリースされたことを受けて、Apple は、自社製品のセキュリティ アップデートの概要を記載したサポート ドキュメントの内容を更新し、iOS 7.1 のセキュリティ改善点を説明するこの新しく作成されたドキュメントへのリンクを追加しました。
この中で、Apple は、evasi0n 脱獄の背後にいるチームである evad3rs などの脱獄コミュニティの著名なメンバーや、問題を報告し、iOS 7.1 のセキュリティ変更に貢献した Google やその他の人々に感謝の意を表しています…
evad3rs について言えば、このチームは iOS 7.1 の 4 つの異なる変更に貢献したとされています。
1 つは、悪意を持って作成されたバックアップが iOS ファイルシステムを変更できるようにするバグに関するもので、もう 1 つは、ローカル ユーザーが任意のファイルの権限を変更できるようにするクラッシュ レポートの問題の詳細です。残りの 2 つは、カーネル自体 (ジェイルブレイクの元となるもの) で任意のコード実行を可能にするカーネルの問題と、攻撃者がコード署名要件を回避できるようにするバグに関するものです。
Appleはまた、Springtomize 3開発者のFilippo Bigarella氏や才能あるiOSハッカーのStefan Esser氏など、脱獄コミュニティの他のメンバーにも功績を認めている。
Filippo は、悪意のあるアプリが予期せぬシステム終了を引き起こすことを可能にするエクスプロイトに関して言及され、Stefan は、中間者攻撃者がエンタープライズ アプリ ダウンロード経由で悪意のあるアプリをダウンロードするようにユーザーを誘導することを可能にする危険なバグに Apple の注意を向けたことで高く評価されました。
Appleが著名なハッカーたちの発見に感謝したのは今回が初めてではありません。例えば2012年には、iOS 5.1で修正されたカーネルエクスプロイトを発見した2012 iOS Jailbreak Dream Teamを称賛しました。同様に、2013年3月のiOS 6.1.3リリース後には、このセキュリティノートで、evad3rsに修正された6つのバグのうち4つを発見したことを称賛しました。
この文書には、iOS 7における24件のセキュリティ関連の問題と、iOS 7.1で修正または軽減された合計41件の脆弱性が詳細に記述されています。著名なハッカーに加え、Google Chromeセキュリティチームや一般ユーザーも協力しています。
SafariのWebkitブラウザエンジンで発見された19件もの脆弱性のうち、9件はGoogleのChromeセキュリティチームからAppleに報告されました。WebKitは以前、GoogleのChromeウェブブラウザで使用されていました。
最後になりますが、Apple 社が自社のソフトウェアにおける危険なセキュリティ上の脆弱性を公に認めることを頑なに拒否し、そのことで知識の乏しいメディアから何度も非難されている理由を疑問に思ったことはありませんか?
「Appleは、完全な調査が行われ、必要なパッチやリリースが利用可能になるまで、セキュリティ問題を開示、議論、または確認しません」と文書には記されている。
ほら、これはあなた自身の保護のためです。
念のためお知らせしますが、脱獄ユーザーは脱獄を失いたくないのであれば、絶対に iOS 7.1 には手を出さないでください。iOS 7.1 にアップグレードすると、SHSH ブロブを使用しても再度ダウングレードすることができなくなります。
