Apple「WebKit」の脆弱性を悪用してスマホから勝手に電話、その手口は：アプリで電話番号URLをタップしただけでトラブルに？

Appleの「WebKit」フレームワークの脆弱（ぜいじゃく）性を悪用すると、被害者のスマートフォンアプリから電話を発信させることが可能になる。この攻撃の仕組みを、専門家が解説する。

[Michael Cobb，TechTarget]

HTMLレンダリングエンジン群「WebKit」の公式Webサイト《クリックで拡大》

　ある研究者の報告によると、Appleの「WebView」を組み込んだモバイルアプリには、電話を勝手に発信させるDenial of Service（DoS）攻撃を受ける危険性があるという。これを悪用したリンクをソーシャルネットワーキングサービス（SNS）の「Twitter」に投稿し、そのリンクをクリックした人たちの端末から緊急電話センター911に大量の電話を発信させた人物が逮捕された。WebViewのこの問題はどのように悪用されるのか。

　HTMLレンダリングエンジン群「WebKit」のフレームワークでは、「iOS」用アプリの開発者がWebコンテンツを表示したり、一般的なブラウザ機能（ハイパーテキストリンク処理やページの閲覧履歴管理など）を実装したりできる。複雑なWebページロード処理を簡素化できるのでとても便利だ。

　WebKitフレームワークの表示用コアクラスであるWebViewでは、コンテンツのスタイルやレンダリングを効率的に処理でき、Twitterやビジネス向けSNSの「LinkedIn」など数多くのアプリで利用されている。

併せて読みたいお薦め記事

モバイルアプリ開発とセキュリティの重要性

• iPhone／Androidの“危ないWebアプリ作者”にならないための「5つのやることリスト」
• モバイルアプリのあまりにもお粗末な開発レベルに研究者がくぜん
• Androidの“正規アプリ”4種にスパイウェア混入――業界蒼白の仕組みとは
• 「オープンソース安全神話」信奉者が見なかったことにしたい“つらい現実”

モバイルセキュリティ担当者が知っておきたいこと

• “邪魔なモバイルセキュリティ担当者”と思われないための4カ条
• 「残念なiPhone管理者」「危険なAndroid使い」を見破る5つの質問
• iPhoneのバグ発見で2000万円ゲット？　Apple「報奨金プログラム」の気になる中身