![中国のフィッシング キットを利用した iMessage 詐欺の落とし穴 [U]](https://i2.wp.com/9to5mac.com/wp-content/uploads/sites/6/2025/01/Security-vulnerability-in-iPhones-USB-C-port-and-a-gotcha-with-iMessage-scams.jpg?quality=82&strip=all&w=1600&w=1920&resize=1920,960&ssl=1 "中国のフィッシング キットを利用した iMessage 詐欺の落とし穴 [U]")
iPhone 15 および 16 に搭載されている USB-C ポート コントローラーにセキュリティ上の脆弱性が発見されました。しかし、これを悪用することは非常に複雑であるため、Apple とそれを発見したセキュリティ研究者の両方が、これは現実世界の脅威ではないと結論付けました。
ただし、セキュリティ上の懸念としては、 する iPhone ユーザーに対する脅威は、詐欺師が Apple に組み込まれた保護機能の 1 つを回避するために使用する戦術です。 更新: E-ZPass 詐欺メッセージの急増は、中国のフィッシング キットによって引き起こされたようです – 以下の新しいセクションを参照してください…
iPhoneのUSB-Cポートにセキュリティ上の脆弱性
セキュリティ研究者のトーマス・ロス氏は、2023年にAppleのサプライチェーンに初めて導入されたUSB-Cコントローラチップの脆弱性を発見した。原理的には、これはiPhoneを侵害するために使用される可能性がある。 サイバーセキュリティニュース 報告します。
セキュリティ研究者は、Apple 独自の ACE3 USB-C コントローラーのハッキングに成功しました。 iPhone 15 および iPhone 15 Pro で導入されたこのチップは、USB-C テクノロジーの大きな進歩を表し、電力供給を処理し、重要な内部システムにアクセスする洗練されたマイクロコントローラーとして機能します。 […]
[Roth’s team was able] ACE3 チップ上でコードを実行できるようになります。チップの起動プロセス中に電磁信号を注意深く測定することで、ファームウェアの検証が行われた正確な瞬間を特定しました。
この重要な局面で電磁障害注入を使用することで、検証チェックを回避し、修正されたファームウェア パッチをチップの CPU にブートすることに成功しました。
理論的には、これにより攻撃者は iPhone を完全に制御できるようになる可能性があります。
ただし、デバイスに物理的にアクセスする必要があり、実行するのは非常に困難です。 マックワールド Apple は使用された手法を検討した結果、現実的な脅威ではないと結論付けたと報じており、Roth 氏もこれに同意した。
iMessage 詐欺師の戦術により保護が回避される可能性がある
SMS と iMessage は、詐欺師がフィッシング攻撃を実行するためのリンクを送信したり、iPhone にマルウェアをインストールしようとしたりするためによく使用されます。
これを防ぐために、連絡先に含まれていない、メッセージを交換したことのない相手から iMessage を受信した場合、iPhone はメッセージ内のリンクを自動的に無効にします。これらはプレーンテキストとして表示され、タップすることはできません。
しかし、詐欺師はこれを回避する方法を見つけました。正当な送信者に二度とメッセージを送信しないよう指示する目的の STOP コマンドであっても、メッセージに返信するよう説得できた場合、この保護は無効になります。
ピーピーコンピュータ たとえ 1 文字の返信であっても、メッセージを送信したという事実は、iPhone がそのメッセージを正当なものと見なし、そのリンクのブロックを解除することを意味します。
AppleはBleepingComputerに対し、ユーザーがそのメッセージに返信するか、送信者を連絡先リストに追加すると、リンクが有効になると語った。
過去数か月間、BleepingComputer では、ユーザーを騙してテキストに返信させ、リンクを再び有効にしようとするスミッシング攻撃が急増しています。
このサイトには、USPS や有料道路会社からのものであると主張する偽のテキストの例が示されており、それぞれ受信者に Y で返信するよう求めています。これにより、リンクがアクティブになります。
よくあることなので、削除したメッセージ フォルダーを探すだけで、写真に撮るべき上記の例を見つけることができました。
最新情報: 中国のフィッシング キットによる E-ZPass 詐欺
クレブスが語るセキュリティ E-ZPass やその他の有料道路詐欺メッセージの洪水が中国のフィッシング キットによって生成されたと思われると報告しています。
研究者らによると、SMSスパムの急増は、中国で販売されている人気の商用フィッシングキットに新機能が追加され、米国の複数の州で有料道路管理者になりすます説得力のあるおとりを簡単に設定できるようになったのと一致しているという。
自分を守る方法
予期しない限り、電子メールまたはその他のメッセージで受信したリンクをタップまたはクリックしないでください。ベスト プラクティスは、自分のブックマークを使用するか URL を手動で入力することだけを行い、メッセージが本物であると考える十分な理由がある場合にのみ後者を実行することです。疑問がある場合は、既知の連絡先詳細を使用して会社に電話またはメッセージを送信して確認してください。
写真:9to5Mac
FTC: 当社は収入を得る自動アフィリエイト リンクを使用しています。 もっと。
