MailMend – メールアプリのゼロクリック脆弱性を修正、悪意あるコードの実行を防ぐ [JBApp]

(26)

メールアプリに存在する「深刻な脆弱性」への対処が行える『MailMend』のご紹介。

米セキュリティ企業「ZecOps」が公表したiOS 6〜13.4.1に存在するメールアプリの脆弱性ですが、踏み台的な物とは言え、アップデートで対処が出来ない脱獄犯には…気になる部分です。
そこで『MailMend』では、iOSのアップデートをせずとも脆弱性の修正が行えるように。

スポンサーリンク

詳細情報

MailMend

Price(価格): 無料
Section(カテゴリ): Tweaks
Author(制作者): Ryan Petrich
Repo(配布元): rpetrich repo (https://rpetri.ch/repo/)

インストール

CydiaやSileoへ下記のリポジトリを登録し、通常通り『MailMend』をインストールしましょう。

https://rpetri.ch/repo/

jbapp-mailmend-2

メールアプリに深刻な脆弱性

脱獄関連でも名前を見かけることがある米企業「ZecOps」ですが、先日iOS 6〜13.4.1のメールアプリに深刻な脆弱性がある公表しました。
iOS 12以前ではメールを開いた際、iOS 13ではメールを受信した時点で、悪意のあるコードが実行できてしまう脆弱性となっているとのこと。
iOS 13.4.5(現在ベータテスト中)では修正されているのですが、iOS 13.4.1以下では対象となり、脆弱性が存在した状態となっています。

この脆弱性ひとつで大きな問題に発展する…という物ではないのですが、気になる…。

MailMendで修正

今回の『MailMend』では、MFMutableData(MIME.framework)にあるバグを修正し、この脆弱性を利用できないようにしてくれます。
対象となるメールがあった際、通知でブロックしたことを知らせてもくれるように。

jbapp-mailmend-3

MailPatchとの違いについて

先行して「MailPatch」という、同じ脆弱性を修正するパッチも登場しています。
今回のMailMendとの違いですが、MailPatchでは修正に抜けがあるとのことで、その点を踏まえMailMendではより完璧(に近い)修正が行われているとのことです。

ただし、作者であるRyan Petrich氏はMailPatchの作者さんに連絡をし、修正に必要な部分を共有しているとのこと。
そのため、MailPatch側も後ほどアップデートされるのかな…?と思われます。

コメント

  1. 標準メーラーを狙った攻撃だから、GMailとかサードパーティのメーラー使ってるなら
    このパッチは必要ないんですかね?

    • 純正メールアプリを削除している場合には、不要です。
      ただし、削除せず使っていないだけ…という場合、iCloudのメール設定が反映されている事があるので、インストール推奨です。

      • ありがとうございます。
        インストールしておきました。
        現時点でバージョンが0.2.1にアップデートされてます。

  2. この脆弱性って脱獄に使えたりしないんですか??

    • この脆弱性は他の脆弱性・Exploitと組み合わせることで、本領を発揮(ちょっと言い方に語弊はあるかもしれませんが、イメージとして…)する物です。
      そのため、これ単体で…というのは難しいかなと思います。

      • じゃあ使いようによっては脱獄の部分的に使えるということですね!

  3. こういうホワイトハッカーって憧れるなぁ

    • その気があるなら何も言わずにCTFをやるんだ。

  4. リポ登録してありますがこのアプリ今出てきますか?調べても出てこないのですが…

    • あります

      • 時間を置いて開いたら出てきました。お騒がせしました。

  5. (ベータ版を除けば)非脱獄端末より早くセキュリティ修正できるっていうのは、面白い状態ですな・・

  6. 昔脱獄ツールでも使われたPDF関連のより厄介そうなので、
    こうして修正パッチを作ってもらえるのは嬉しいですね

  7. 誰か、toonsyのようにアニメテーマを動かせるA13デバイス対応のtweak知りませんか?

  8. 普段 iOS の脆弱性を探して脱獄しているコミュニティが,その脆弱性を Apple の代わりに修正しているんですねぇ笑

  9. 相当前のiOSから存在していたみたいですね
    公表されたからにはさらに突いてくる攻撃も増えそうですし
    対策するに越したことはないですね

  10. iOS4の頃にも似たようなことがありましたね

  11. このパッチを、あてると添付画像が開かなくなりませんか?

    通信エラーの時に出るようなタップしてダウンロードボタンが出て、それを押してもダウンロード表示されないようです。

    • 私も同じような挙動になってました。
      開発者の修正等が行われるのを期待しましょう。

  12. MailMendを入れたら、メールの取得が超遅くなった。
    使用出来るレベルじゃない。
    MailMendを削除してもダメです、困った。。

    iPhone XS iOS13.3

    • MailMend削除後、LDRestertを行ってみるとイイかもしれません。

  13. これは脱獄状態でのみ機能、再起動して入獄状態になったら機能しなくなるものという認識でよろしいでしょうか?

    • はい、Substrate系脱獄アプリになりますので、セーフモードや入獄環境では未対処となっているかと思われます。

  14. iphone7 ios13.3 unc0ver4.3.1 これ入れたら不意落ちが数日おきに発生。消しました…なかなか脱獄環境維持は難しいですね。

  15. これを入れたら、pdf等の一部の添付ファイルをダウンロード押しても開けなくなった。

    • 作者さんも認識しているようで、次回アップデートにて修正が入るようです。