PR
図1 Nitesh Dhanjani氏のデモページをiPhoneのSafariで表示させた例。アドレスバーには「バンク・オブ・アメリカ」の正しいURLが表示されている
図1 Nitesh Dhanjani氏のデモページをiPhoneのSafariで表示させた例。アドレスバーには「バンク・オブ・アメリカ」の正しいURLが表示されている
[画像のクリックで拡大表示]
図2 デモページを下にスクロールすると、本物のアドレスバーが表示される。図1のアドレスバーは偽装用の画像であることが分かる
図2 デモページを下にスクロールすると、本物のアドレスバーが表示される。図1のアドレスバーは偽装用の画像であることが分かる
[画像のクリックで拡大表示]

 セキュリティ研究者のNitesh Dhanjani氏は2010年11月29日、米アップルの「iPhone」や「iPad」のOSである「iOS」の仕様を悪用すれば、iOSの標準Webブラウザー「Safari」に表示されるURLを偽装できることを明らかにした。偽装が可能であることを示すデモページも公開している。

 iOSの仕様では、Webサイト側から、Safariのアドレスバーを隠すことができる。具体的には、Webページ(HTMLファイル)にある記述をしておけば、SafariにそのWebページを表示させた後、Webページを上にスクロールさせることで、アドレスバーを隠すことができる。実際、この仕様を利用しているWebサイトは多数存在する。

 今回指摘されたのは、この仕様の問題点。この仕様を悪用すれば、実際のURLを表示しているアドレスバーを隠し、偽のアドレスバーを本物だと見せかけることができるという。つまり、フィッシング詐欺などに悪用される恐れがある。

 偽装が可能であることを示すために、Dhanjani氏はデモページを公開している。同ページにiPhoneのSafariでアクセスすると、米国の銀行「バンク・オブ・アメリカ」のモバイル用サイトが表示される(図1)。この画面のアドレスバーにあるURLは「bankofamerica.com」なので、一見すると本物のサイトに思える。

 しかし、ここで表示されているのはアドレスバーに見せかけた画像ファイル。本物のアドレスバーは、前述の仕様を利用して隠している。表示されているページを下にスクロールすると、本当のアドレスバー(URLは「www.dhanjani.com/iphone-safari-ui-spoofing/」)が現れる(図2)。

 Dhanjani氏のブログによれば、同氏はこの問題を米アップルに報告済み。だが、同社がこの問題をいつ、どのように解決するのかは分からないとしている。