Appleの「iPhone 6s」と「6s Plus」にパスコードを入力しなくても連絡先や写真にアクセスできてしまう脆弱性が見つかり、Appleが修正していたことが分かった。米紙Washington Postが4月5日付で伝えた。

この脆弱性に関する情報は同日、セキュリティメーリングリストのFull Disclosureに投稿されていた。それによると、脆弱性はiOS 9.3.1に存在していて、「3D Touch」機能を搭載したiPhone 6sと6s Plusのみが影響を受けるという。Appleには3月18日に報告したとしている。

Washington Postによれば、YouTubeにはこの脆弱性の実証ビデオも投稿された。悪用できるのは、ユーザーがSiriからTwitterへのアクセスを許可している場合に限られる。ロックがかかった端末でSiriを起動して誰かの電子メールアドレスを含んだツイートを検索させ、そのツイート上で3D Touch機能を使うと、パスコードを入力しないまま連絡先の追加や編集ができる状態になる。さらに、連絡先の追加や編集機能を経由して写真にもアクセスできる。

YouTubeに公開された実証動画

AppleはWashington Postの取材に対し、5日にこの脆弱性を修正したことを確認したという。ほとんどのユーザーはソフトウェアアップデートを行わなくても問題は修正されるとしている。

Copyright © ITmedia, Inc. All Rights Reserved.