人気iOSアプリ76本に脆弱性、中間者攻撃のおそれ

Zack Whittaker (ZDNET.com) 翻訳校正: 緒方亮 高森郁哉 (ガリレオ)2017年02月08日 13時00分

 76本もの人気「iOS」アプリが、ハッカーの攻撃に脆弱な状態になっている。ハッカーはこの脆弱性により、機密データの可能性もある暗号化されたデータを傍受し、盗むことが可能になるという。


提供:CNET/CBS Interactive

 米国時間2月6日にブログ記事で発表された調査結果には、この問題を抱えたアプリが1800万台以上のデバイスにダウンロードされている可能性があると記されている。

 40本以上のアプリは、中間者攻撃のリスクが「中」または「高」と確認されている。リスクが「高」の場合、攻撃者は金融サービスや医療サービスの認証情報を傍受できる。

 すべての該当するアプリ名が直ちに公表されるわけではないが、これは2~3カ月の「責任ある開示」の期間が適用されたものであり、開発者はこの間に問題を修正する。

 ブログを書いたSudo Security Groupの最高経営責任者(CEO)Will Strafach氏によると、アプリをWi-Fi経由で使わない場合のほうが安全性が高いという。

 「モバイルデータ通信の傍受はより難易度が高く、高価なハードウェアが必要で、はるかに発覚しやすい。それに(米国では)完全に違法だ」(Strafach氏)

 ごく単純な問題の可能性もあるが、一律に修正するのは難しいかもしれない。

 Strafach氏によると、アプリ開発者によるネットワーキングコードの実装が不適切な場合、アプリがあらゆる証明書を受け入れて、暗号化された接続を確立してしまうという。

 攻撃者が脆弱なデバイスの近くにいる場合、攻撃者は問題のアプリが証明書を受け入れるように仕向け、アプリからデータを吸い上げたり、アプリにデータを送り込んだりすることが可能になる。

 さらに悪いことに、Appleの「App Transport Security(ATS)」機能は接続を暗号化された有効なものと認識するため、攻撃者の証明書をブロックしない。

 Strafach氏によると、これはAppleが協力できるようなものではない。仮にAppleがこのセキュリティ上の課題に対処しようとすると、不正な証明書によるなりすましを防ぐ機能である、ピンニングされた証明書を使用することができず、iPhoneおよび「iPad」向けアプリの安全性が下がってしまう可能性があるのだ。

 「アプリ開発者自身が、開発したアプリが脆弱でないようにするしかない」(Strafach氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]