iOS 7.0.6にて修正された【SSLの脆弱性】ですが、当初思われていたよりも非常に深刻なセキュリティ上の問題として、非常に話題になっています。中には「Apple史上最悪のバグ」や「前代未聞のバグ」とも言われていますよね。
さて、この問題はiOS 7.0.6では修正されたのですが、それ以前のバージョン(iOS 6.0~7.0.5)を使い続けたい場合はこの問題を放置したまま使い続ける事になります。それでは不安ですよね。
そこで脱獄を行っている場合は『SSLPatch』をインストールすることで、この問題をiOS 7.0.6以前のバージョン(iOS 6.0~7.0.5)でも修正が可能となっています。
詳細情報
SSLPatch
| Price(価格): | 無料 |
|---|---|
| Section(カテゴリ): | Tweaks |
| Author(制作者): | Ryan Petrich |
| Repo(配布元): | BigBoss(デフォルト) |
インストール
Cydiaより通常通りインストールしてください。
Searchタブより「SSLPatch」と検索すると出てきます。
より詳しいインストール方法は【Cydia の 使い方! ~全部解説~ [JBApp]】をご覧ください。
アプリ紹介
今回の問題が発生しているかどうかのチェックが出来る【goto fail;】というサイトを使って、『SSLPatch』の効果を見てみましょう。
最初の赤い表示が【SSLバグ】が存在しており危険だという事を表しています。iOS 6.0~iOS 7.0.5の場合は、この様になります。
SSLPatchを適用後
ということで『SSLPatch』をインストールしてから、再度アクセスしてみます。 すると緑の表示となり、安全表示に切り替わりましたね!
理想はiOS 7.0.6にアップデートする事
「今回の『SSLPatch』を使えばiOS 7.0.6にアップデートしなくても良いよね?」と思ってしまいますが、この点について各ハッカーさん達からは「iOS 7.0.6にアップデートすべき」と言われています。
また、こちらのパッチはCydiaSubstrateアドオンですのでセーフモードでは意味が無いのです。
そのため、通常はiOS 7.0.6にアップデートしていただき、今回のパッチを使う場合は、どうしてもiOS 6.xを維持したい、どうしてもiOS 7.0.6には出来ない、などの特別な理由がある場合のみにしましょう。
コメント
いまだによくわかっていないのですが
データ消さずに(バックアップ以外)
アップデートする方法はないんですか?
iOS7.0.6では脱獄可能になりましたが、iPodtouchなんかのiOS6.1.6では、まだ脱獄出来ないのでこれ入れとけって感じですか?
iOS 6.1.6は、iOS 7.0.6と同じ修正ですので、気にしないでいただいて大丈夫です、
単純なプログラミングミスの修正だけなのかな?
修正のモジュールにもよるのでしょうが、そこそこ大きなサイズだったような?
iOS7.0.6の更新サイズって、13MB位あったような???
いや、あのね君…まじで…?
ここの画像だと35.4MBでしたね。
http://www.appps.jp/archives/2137792.html
たった1行の修正に、35MB。。。まあ、適用するための関連モジュールもあるのでしょうけど
方やこのTweakは、たったの72kBですもんね。。。
突っ込まれた方、何か?
SSLの不具合は非常に危険すぎです
MBの問題ではなくあなた自身の個人情報も
取られる可能性だって十分ありますし、
中級者の外部ネットワークを通して攻撃を受けるとほかのブログや報道で出てます
できるならアップデートOR脱獄してパッチ(最新バージョン以外だとパッチ自体がセーフモードで動かないので注意が必要)を当てることを強くおすすめします
あ。。。
そう言う事が、言いたいのではなく、サイズが大きいので、何か他に改善を期待しただけですよ。
私は他の方と違って、数十種類の脱獄Tweakを入れていても、復元は全く気にならないので、即アップしましたよ。
何度やっても脱獄の環境を作るのは、苦になりませんね。
3日位掛けて、ゆっくりやります。前回までの失敗や経験を糧にして、少しずつ改善される過程を理解できますからね。
脱獄する人は、便利や自己満足だけでなく、色々追及しないと危険をばらまいているような物ですよ。
むしろ、親切なこのTweakを入れて安心する人の方が被害拡大の危険性を認識していない人ですね。
iPhone4S iOS7.0.6 JB
自分iOS6.1.3のままがよかったので入れておこうと思います。
あと30分早く見つけておけば面倒じゃなかったのに…
ios5.1.1には関係なかったのね・・・
管理人さん。紹介ありがとうございます。 早速入れました♪ これで現状維持できます!
アプデしたいがデータ移行めんどいいな〜と思ってたところに。
thanks
ulstrasn0wでアンロックしてる3GSとどうしてもios7のUIが気に食わずios6.1.4の5に
とりあえず入れたところにAppleが強制updateするかもという恐ろしい噂が。
そんなことよりMac用のパッチ早くしてくれよと。safariとか使えない。
毎度の事ながら、βテスターはなにやってんだろう、って思う。もうβテストなんてやめてしまえばいいのに
近日にまたアップルからアップデータが配布される可能性がある気がしますが、その都度脱獄するのは面倒ですね。
たった今、7.0.6にアプデしてる最中でーすw
う〜んこのタイミングこそ我が人生…
このパッチ、Cydia Substrate を利用したパッチなので、Cydia Substrate の効かない root 権限の脱獄アプリやサービスには効きません。
なので、パッチを入れても安心はできませんね。
ただし、この脆弱性はSafariのみ
JBアプリでwebkitブラウザ使わなけりゃいいだけ
…何かあったっけ?
影響を受けるのは Safari だけではありません。OS 標準の SSL を利用する通信すべてです。たとえば、Apple ID の認証とか、 iCloud まわりが中間者攻撃を受けても安心していられますか?
OTA アップデート… は、脱獄犯には無縁なのでそこは気にしなくてもいいかもしれせんが。
Safariだけ気をつければ大丈夫と思ってる人が意外に多くてびっくりしますね
その意味でも今回のバグは史上最悪と思います
しかもアップルはその重大さをあまりアピールしないですし
iPod 4Gの話なんですが、
6.1.6へのアップデートでp0sixspwnで使われている脱獄手法は塞がれているのでしょうか?
塞がれてないなら近日中にp0sixspwnがアップデートされると思うので
これは入れずにアップデート待ちで、塞がれているならSHSHを利用して
6.1.6以外に初期化してそれから脱獄してこれを入れようと思っているのですが。
因みにiPod 4Gは未脱獄、6.1.5の状態です。
iPhone以前の問題でMacも、、、
人によっては林檎デバイスを投げ捨てたくなるレベル。
これはかなり酷いですね…
こんなことなら泥端末に買い換えたい…
ios 7.0.4から7.0.6にあげましたがSiriの音声変になってない?
iPhone 5、ブラックです。
私の環境(iPhone 5s)では特に気になる変化はありませんでした。
本当にセキュリティーがどうのこうの、という人はそもそも泥でも林檎でもrootedにすべきではないでしょうね。
もう皆にばれてしまったからコソコソやってた盗人も穴潰してないユーザーから抜くために必死になるでしょう。
これはどっちかというとうっかりミスだけど、影響はすごく大きいですね。
マトモにセキュリティテストされてない事がバレてしまったのですから。
safari使ってないから問題ないのかな?
一応インストールしてchromeでgo to fall見てみたら黄色になりました
Chromeは仕組み上正確な判定が出来ませんので、Safariの方で確認を行ってください
今回のバグはiOS5には関係ないんですか?
はい、そのようです
来ると思ってた有志パッチ
作ってくれた人と情報撒いてくれた人に感謝
面倒だったのでこのパッチは助かりました。
ありがたく使わせてもらいます(^_^)
SSLってセキュリティですよね?
(iOS6)ですが、何がいけないのですか?
このパッチをいれることで何がおきますか?
すごく簡単に言ってしまえば、ネット上で送受信されるデータを暗号化する技術の名前です。
ようするにコレにバグがあり、外部から自身の個人情報を盗み見られたり、改ざんされる可能性がある。という感じでしょうか。
iPhone×2, iPad×1 アプデ&復元完了…疲れた
今年はもう、Appleはイラネ…Z2 買うことに決めた。
SSLはクレジットカードなんかでも情報暗号化して接続する方式だから一番の危惧はここでしょうね
>>Kepterさん
https://tools4hack.santalab.me/howto-ios706-untethered-jailbreak-evasi0n7-v106.html
こちらの記事に載ってますよ
7.1まではこのパッチで有難いです。
そんなに神経質になる必要もないかも。
5S、7.0.4で問題ありません。
説明ありがとうございます。どういうものかが分かりました。
いつも、
ありがたくサイト料金させてもらってます☆彡
SSL入れたのですが、
赤でも、緑でもなく、
黄色でした^^;
書かれてるように、近々に7.06へ移行しようとは思いますが、
黄色は
たちまち問題ないんですかね?
iPhone5s. ブラウザ クロムで
書かれてたサイトを見てみました。
Chromeでは仕様上正確な判定が出来ませんので、Safariから確認を行ってください
コメントよく見てたら、
クロムではNG判定と書かれてますね^^;
iOS7.0.6にしても修正されない脆弱性が発見されたとか聞きました。
iPhoneでの画面タッチ、ボリュームボタン、Touch ID、ホームボタン、スリープボタンなどあらゆる操作情報を外部に送信されてしまう恐れがあるとか。
不正アプリによって行なわれるという限定的なものらしいので、そういうアプリを入れなきゃいいのかもしれませんが、とりあえずiOS7.0.6でも残ったままだとか。
ユーザー側でできる対策はAppのバックグラウンド更新をオフにすること&ホームボタン2度押し→バックグラウンドアプリ終了ぐらいだそうですが、SSLPatchを入れてもこの件は解消されませんよね?
はい、SSLPatchとは関係ないので、修正は出来ません。
管理人様
いつも貴重な情報を有難うございます。
mobile substrateが有効な時のみという制限はあるにせよiPhone5で6.14、7に上げたくない場合もこのパッチを当てておく必要ありということでしょうか。
そうですね、確実にそちらの方が安全性は高まると思います。
アップデートきた!なんてノーマルのほとんどの方々はあまり気にしてないで使ってますよね。JBな我々が過剰反応なのかもしれません。
利用されて困る個人情報はJB端末に入れない方がベストだと思いますが。
とにかく自己責任で(^_^)
3日ぐらいかけて…
そんな暇ありませんよね(笑)
人それぞれですから(≧∇≦)
5.1.1 4Sのおれは?どうすりゃいいの?
5.1.1にはこのバグ自体存在しないから何もしないで大丈夫ですよ。
SSLPatchを導入してから アプリ画面→スイッチャー→アプリに戻る→スイッチャー→アプリを消す
という動作を起こすと高確率でセーフモードに入ってしまいます。セーフモードを抜けたすぐ後にも起こります。
SSLPatchを消した方が良いでしょうか?
スイッチャー系の脱獄アプリはVertexとSpringtomize3を入れていますが両方ともオフにしています。
そちらも消した方が良いでしょうか?
iPhone5
iOS7.0.4
です。
7.0.4ではないのですが、私の環境では特別問題は起っていないようですので、iCleaner等で一つ一つCydia Substrate系の脱獄アプリをオフにして症状が改善されないか確認してみると良いかなと思います。
返信ありがとうございます。
わかりましたいろいろと設定を変えて見たいと思います
iphone5s 7.0.4ですがインストールすようとするとthe requested modifications cannot be applied due to~と表示されインストールできません。ネットで調べてみましたが解決方法が見つかりません。対処法はありますか?
リポジトリの更新を正常に完了させてから実行してみても同じでしたでしょうか
今日、4s(6.1.3)にSSLPatchをインストールしましたが、
gotofailで確認したら赤い表示の危険のままでした。
色々試しましたが、
・Patch再インストール
・Patch削除からの再インストール
・root mobile のパスワード初期化、Patchインストール
・OpenSSL OpenSSH 削除後、Patch単体でインストール
どれも結局ダメでした。
Cydiaの画面上では、インストール時に特にエラーなどは発生していなさそうなんですが・・
何か手は無いでしょうか?よろしくお願い致します。