最近発見されたバグでは、不正なネットワーク名によって iPhone の Wi-Fi がクラッシュし、修正するには工場出荷時設定へのリセットが必要になりますが、iOS 14.6 ではゼロデイ脆弱性としてさらに強力になっています。
ストーリーのハイライト:
- Wi-Fiの命名バグはゼロデイ脆弱性として依然として存在しています
- しかし、iOS 14.6では、この脆弱性によりリモートコード実行が可能になった。
- Appleはまだ脆弱性を完全に修正していない
iPhoneのホットスポットバグ、iOS 14.6でも健在
zecOps のモバイル セキュリティ専門家によると、iOS と iPadOS に最近発生したバグは、特定の不正なネットワーク名により、サービス拒否 (DoS) 攻撃によってデバイスの Wi-Fi が切断され、修正にはネットワーク設定のリセットが必要になるというもので、当初考えられていたよりも強力だという。
zecOps は、WiFiDemon と名付けられたこの欠陥が iOS 14.6 でも依然として存在していると指摘しています。
しかし、iOS 14.6では、Appleが「匿名の研究者」への感謝を表明してiOS 14.4で部分的に修正したにもかかわらず、このバグは危険なゼロデイ脆弱性となっています。Appleのオペレーティングシステムの最新公開バージョンであるiOS 14.6は、2021年5月25日にリリースされました。
zecOps は、iOS 14.6 ではこの脆弱性を利用して、何もしていないユーザーに対してリモート コード実行攻撃を実行できることを発見しました。
最近公開された、危険性は低いとされていたWi-Fiのバグは、非常に強力です。この脆弱性により、攻撃者は攻撃者とのやり取りを一切行わずにスマートフォンやタブレットを感染させることができます。このタイプの攻撃は「ゼロクリック」または「ゼロクリック」と呼ばれます。この脆弱性は部分的にしか修正されていません。
つまり、設定でWi-Fi機能が有効になっているだけで、デバイスがSSIDに特殊文字を含む近くの悪意のあるホットスポットを検出するだけで、この脆弱性が悪用される可能性があります。現時点では、この脆弱性を利用して、何も知らないデバイスに対してリモートコード実行攻撃を仕掛けることができるという概念実証は存在しません。
この種の攻撃を防ぐには、公共ホットスポットに参加する際には注意してください。
実際のところ、iPhone と iPad で「設定」→「WiFi」→「ホットスポットに自動接続」に移動して「しない」または「接続を確認する」を選択して、公衆無線ネットワークに自動的に接続するオプションを無効にする必要があります。
