MailMend – メールアプリのゼロクリック脆弱性を修正、悪意あるコードの実行を防ぐ [JBApp]

(26)

メールアプリに存在する「深刻な脆弱性」への対処が行える『MailMend』のご紹介。

米セキュリティ企業「ZecOps」が公表したiOS 6〜13.4.1に存在するメールアプリの脆弱性ですが、踏み台的な物とは言え、アップデートで対処が出来ない脱獄犯には…気になる部分です。
そこで『MailMend』では、iOSのアップデートをせずとも脆弱性の修正が行えるように。

スポンサーリンク
スポンサーリンク

詳細情報

MailMend

Price(価格): 無料
Section(カテゴリ): Tweaks
Author(制作者): Ryan Petrich
Repo(配布元): rpetrich repo (https://rpetri.ch/repo/)

インストール

CydiaやSileoへ下記のリポジトリを登録し、通常通り『MailMend』をインストールしましょう。

https://rpetri.ch/repo/

jbapp-mailmend-2

メールアプリに深刻な脆弱性

脱獄関連でも名前を見かけることがある米企業「ZecOps」ですが、先日iOS 6〜13.4.1のメールアプリに深刻な脆弱性がある公表しました。
iOS 12以前ではメールを開いた際、iOS 13ではメールを受信した時点で、悪意のあるコードが実行できてしまう脆弱性となっているとのこと。
iOS 13.4.5(現在ベータテスト中)では修正されているのですが、iOS 13.4.1以下では対象となり、脆弱性が存在した状態となっています。

この脆弱性ひとつで大きな問題に発展する…という物ではないのですが、気になる…。

MailMendで修正

今回の『MailMend』では、MFMutableData(MIME.framework)にあるバグを修正し、この脆弱性を利用できないようにしてくれます。
対象となるメールがあった際、通知でブロックしたことを知らせてもくれるように。

jbapp-mailmend-3

MailPatchとの違いについて

先行して「MailPatch」という、同じ脆弱性を修正するパッチも登場しています。
今回のMailMendとの違いですが、MailPatchでは修正に抜けがあるとのことで、その点を踏まえMailMendではより完璧(に近い)修正が行われているとのことです。

ただし、作者であるRyan Petrich氏はMailPatchの作者さんに連絡をし、修正に必要な部分を共有しているとのこと。
そのため、MailPatch側も後ほどアップデートされるのかな…?と思われます。

コメント

  1. 名前:匿名 : 投稿日:2020/04/26(日) 21:15:46 返信

    標準メーラーを狙った攻撃だから、GMailとかサードパーティのメーラー使ってるなら
    このパッチは必要ないんですかね?

    • 名前:SANTA@管理人 : 投稿日:2020/04/26(日) 21:28:00 返信

      純正メールアプリを削除している場合には、不要です。
      ただし、削除せず使っていないだけ…という場合、iCloudのメール設定が反映されている事があるので、インストール推奨です。

      • 名前:匿名 : 投稿日:2020/04/26(日) 23:53:39 返信

        ありがとうございます。
        インストールしておきました。
        現時点でバージョンが0.2.1にアップデートされてます。

  2. 名前:匿名 : 投稿日:2020/04/26(日) 21:25:39 返信

    この脆弱性って脱獄に使えたりしないんですか??

    • 名前:SANTA@管理人 : 投稿日:2020/04/26(日) 21:27:09 返信

      この脆弱性は他の脆弱性・Exploitと組み合わせることで、本領を発揮(ちょっと言い方に語弊はあるかもしれませんが、イメージとして…)する物です。
      そのため、これ単体で…というのは難しいかなと思います。

      • 名前:匿名 : 投稿日:2020/04/28(火) 19:33:36 返信

        じゃあ使いようによっては脱獄の部分的に使えるということですね!

  3. 名前:匿名 : 投稿日:2020/04/26(日) 21:25:55 返信

    こういうホワイトハッカーって憧れるなぁ

    • 名前:匿名 : 投稿日:2020/04/27(月) 00:05:29 返信

      その気があるなら何も言わずにCTFをやるんだ。

  4. 名前:匿名 : 投稿日:2020/04/26(日) 22:18:01 返信

    リポ登録してありますがこのアプリ今出てきますか?調べても出てこないのですが…

    • 名前:匿名 : 投稿日:2020/04/26(日) 22:26:29 返信

      あります

      • 名前:匿名 : 投稿日:2020/04/26(日) 23:24:44 返信

        時間を置いて開いたら出てきました。お騒がせしました。

  5. 名前:匿名 : 投稿日:2020/04/27(月) 02:16:26 返信

    (ベータ版を除けば)非脱獄端末より早くセキュリティ修正できるっていうのは、面白い状態ですな・・

  6. 名前:匿名 : 投稿日:2020/04/27(月) 11:39:30 返信

    昔脱獄ツールでも使われたPDF関連のより厄介そうなので、
    こうして修正パッチを作ってもらえるのは嬉しいですね

  7. 名前:匿名 : 投稿日:2020/04/27(月) 14:20:47 返信

    誰か、toonsyのようにアニメテーマを動かせるA13デバイス対応のtweak知りませんか?

  8. 名前:.Rinta : 投稿日:2020/04/27(月) 19:00:02 返信

    普段 iOS の脆弱性を探して脱獄しているコミュニティが,その脆弱性を Apple の代わりに修正しているんですねぇ笑

  9. 名前:匿名 : 投稿日:2020/04/27(月) 19:06:51 返信

    相当前のiOSから存在していたみたいですね
    公表されたからにはさらに突いてくる攻撃も増えそうですし
    対策するに越したことはないですね

  10. 名前:匿名 : 投稿日:2020/04/27(月) 20:17:00 返信

    iOS4の頃にも似たようなことがありましたね

  11. 名前:匿名 : 投稿日:2020/04/28(火) 14:07:12 返信

    このパッチを、あてると添付画像が開かなくなりませんか?

    通信エラーの時に出るようなタップしてダウンロードボタンが出て、それを押してもダウンロード表示されないようです。

    • 名前:匿名 : 投稿日:2020/04/28(火) 19:51:29 返信

      私も同じような挙動になってました。
      開発者の修正等が行われるのを期待しましょう。

  12. 名前:yohsang : 投稿日:2020/04/28(火) 18:47:03 返信

    MailMendを入れたら、メールの取得が超遅くなった。
    使用出来るレベルじゃない。
    MailMendを削除してもダメです、困った。。

    iPhone XS iOS13.3

    • 名前:SANTA@管理人 : 投稿日:2020/04/29(水) 00:06:36 返信

      MailMend削除後、LDRestertを行ってみるとイイかもしれません。

  13. 名前:匿名 : 投稿日:2020/04/28(火) 23:07:16 返信

    これは脱獄状態でのみ機能、再起動して入獄状態になったら機能しなくなるものという認識でよろしいでしょうか?

    • 名前:SANTA@管理人 : 投稿日:2020/04/29(水) 00:02:10 返信

      はい、Substrate系脱獄アプリになりますので、セーフモードや入獄環境では未対処となっているかと思われます。

  14. 名前:匿名 : 投稿日:2020/05/08(金) 20:39:31 返信

    iphone7 ios13.3 unc0ver4.3.1 これ入れたら不意落ちが数日おきに発生。消しました…なかなか脱獄環境維持は難しいですね。

  15. 名前:レオなるど : 投稿日:2020/05/11(月) 12:03:38 返信

    これを入れたら、pdf等の一部の添付ファイルをダウンロード押しても開けなくなった。

    • 名前:SANTA@管理人 : 投稿日:2020/05/11(月) 22:59:07 返信

      作者さんも認識しているようで、次回アップデートにて修正が入るようです。

スポンサーリンク
スポンサーリンク
タイトルとURLをコピーしました