昨日の記事でAppleが昨日未明にiOS7.0.6をリリースし、
SSL/TLS接続関係のバグを修正したとお伝えしたが、
その後多くの著名な脱獄ハッカー達がTwitter上で、
この最新のiOS7.0.6への一刻でも早いアップデートを推奨している。
その例を2つほど挙げてみよう。
脱獄ハッカー達のTwitter上のつぶやき
■@chronicの発言
update your device to iOS 7.0.6 if you have not done so already. this is absolutely essential, do it now.
— Will Strafach (@chronic) 2014, 2月 22
■@winocmの発言
Reiteration reminder: Please update to iOS 7.0.6 as soon as possible.
— winocm (@winocm) 2014, 2月 22
なぜ早急にiOS7.0.6へのアップデートが推奨されるのか
気になるのはなぜ脱獄ハッカーがiOS7.0.6へのアップデートを推奨しているのかということだ。
その答えは以下の2名のTwitter上での発言を見ればわかる。
■@stevestrezaの発言
Update your iPhones/iPads now. The SSL bug is really bad. Always brace your if statements. https://t.co/eyeDvhwAV9 pic.twitter.com/lEgUdqZChu
— Steve Streza (@SteveStreza) 2014, 2月 22
■@mdzの発言
Ah, this Apple TLS bug brings back such fond memories of CVE-2008-0166 http://t.co/yjukvGtsyY #cryptonightmares
— Matt Zimmerman (@mdz) 2014, 2月 22
要は、今回iOS7.0.6へのアップデートで修正されたSSL/TLS認証のバグは、
実は非常に深刻で最悪のバグだということだ。
修正しないと、このバグを知っている攻撃者がiOS7.0.5以下のデバイスを攻撃できるようになる。
ちなみに@i0n1cは既にバイナリパッチ(Binary Patch)によってAppleのSSLバグを修正しているという。
早めのパッチの公開が待たれるところだ。
※少なくともCydiaの中でパッチを公開してほしいところだ。
■@i0n1cの発言
So I binary patched my Security.framework to be immune to the Apple SSL bug…
— Stefan Esser (@i0n1c) 2014, 2月 22
脱獄犯にとってのiOS7.0.6アップデート
とはいえ脱獄犯としてはevasi0n7が正式にiOS7.0.6に対応するまでは、
なかなかアップデートしたくないのが本音だ。
もちろん脱獄していない人はすぐにでもiOS7.0.6へのアップデートをすることを推奨したい。
また、iOS7対応の完全脱獄ツール「evasi0n7」は恐らく一両日中にiOS7.0.6対応になると思われる。
というのもiOS7.0.6ではevasi0n7のiOS7完全脱獄に使われるセキュリティホールは塞がれておらず、
既にevasi0n7 1.0.5を改造し対応バージョン部分をいじるだけで、
脱獄に成功している人がいるからだ。
iOS7.0.5がリリースされた時も一両日中にevasi0n7がアップデートされたことを考えると、
今回もすぐに対応するのではないかと思われる。
記事は以上。