読者です 読者をやめる 読者になる 読者になる

人気iOSアプリ76本に脆弱性、中間者攻撃のおそれ

ITニュース

f:id:lemon-star:20170209230446j:plain

 76本もの人気「iOS」アプリが、ハッカーの攻撃に脆弱な状態になっている。ハッカーはこの脆弱性により、機密データの可能性もある暗号化されたデータを傍受し、盗むことが可能になるという。

 

 米国時間2月6日にブログ記事で発表された調査結果には、この問題を抱えたアプリが1800万台以上のデバイスにダウンロードされている可能性があると記されている。

 40本以上のアプリは、中間者攻撃のリスクが「中」または「高」と確認されている。リスクが「高」の場合、攻撃者は金融サービスや医療サービスの認証情報を傍受できる。

 すべての該当するアプリ名が直ちに公表されるわけではないが、これは2~3カ月の「責任ある開示」の期間が適用されたものであり、開発者はこの間に問題を修正する。

 ブログを書いたSudo Security Groupの最高経営責任者(CEO)Will Strafach氏によると、アプリをWi-Fi経由で使わない場合のほうが安全性が高いという。

 「モバイルデータ通信の傍受はより難易度が高く、高価なハードウェアが必要で、はるかに発覚しやすい。それに(米国では)完全に違法だ」(Strafach氏)

 ごく単純な問題の可能性もあるが、一律に修正するのは難しいかもしれない。

 Strafach氏によると、アプリ開発者によるネットワーキングコードの実装が不適切な場合、アプリがあらゆる証明書を受け入れて、暗号化された接続を確立してしまうという。

 攻撃者が脆弱なデバイスの近くにいる場合、攻撃者は問題のアプリが証明書を受け入れるように仕向け、アプリからデータを吸い上げたり、アプリにデータを送り込んだりすることが可能になる。

 さらに悪いことに、Appleの「App Transport Security(ATS)」機能は接続を暗号化された有効なものと認識するため、攻撃者の証明書をブロックしない。

 Strafach氏によると、これはAppleが協力できるようなものではない。仮にAppleがこのセキュリティ上の課題に対処しようとすると、不正な証明書によるなりすましを防ぐ機能である、ピンニングされた証明書を使用することができず、iPhoneおよび「iPad」向けアプリの安全性が下がってしまう可能性があるのだ。