人気iOSアプリ76本に脆弱性、中間者攻撃のおそれ

　76本もの人気「iOS」アプリが、ハッカーの攻撃に脆弱な状態になっている。ハッカーはこの脆弱性により、機密データの可能性もある暗号化されたデータを傍受し、盗むことが可能になるという。

提供：CNET/CBS Interactive

　米国時間2月6日にブログ記事で発表された調査結果には、この問題を抱えたアプリが1800万台以上のデバイスにダウンロードされている可能性があると記されている。

　40本以上のアプリは、中間者攻撃のリスクが「中」または「高」と確認されている。リスクが「高」の場合、攻撃者は金融サービスや医療サービスの認証情報を傍受できる。

　すべての該当するアプリ名が直ちに公表されるわけではないが、これは2～3カ月の「責任ある開示」の期間が適用されたものであり、開発者はこの間に問題を修正する。

　ブログを書いたSudo Security Groupの最高経営責任者（CEO）Will Strafach氏によると、アプリをWi-Fi経由で使わない場合のほうが安全性が高いという。

　「モバイルデータ通信の傍受はより難易度が高く、高価なハードウェアが必要で、はるかに発覚しやすい。それに（米国では）完全に違法だ」（Strafach氏）

　ごく単純な問題の可能性もあるが、一律に修正するのは難しいかもしれない。

　Strafach氏によると、アプリ開発者によるネットワーキングコードの実装が不適切な場合、アプリがあらゆる証明書を受け入れて、暗号化された接続を確立してしまうという。

　攻撃者が脆弱なデバイスの近くにいる場合、攻撃者は問題のアプリが証明書を受け入れるように仕向け、アプリからデータを吸い上げたり、アプリにデータを送り込んだりすることが可能になる。

　さらに悪いことに、Appleの「App Transport Security（ATS）」機能は接続を暗号化された有効なものと認識するため、攻撃者の証明書をブロックしない。

　Strafach氏によると、これはAppleが協力できるようなものではない。仮にAppleがこのセキュリティ上の課題に対処しようとすると、不正な証明書によるなりすましを防ぐ機能である、ピンニングされた証明書を使用することができず、iPhoneおよび「iPad」向けアプリの安全性が下がってしまう可能性があるのだ。

　「アプリ開発者自身が、開発したアプリが脆弱でないようにするしかない」（Strafach氏）