人気iOSアプリ76本に脆弱性、中間者攻撃のおそれ

Zack Whittaker (ZDNet.com) 翻訳校正: 緒方亮 高森郁哉 (ガリレオ) 2017年02月08日 13時00分

  • このエントリーをはてなブックマークに追加

 76本もの人気「iOS」アプリが、ハッカーの攻撃に脆弱な状態になっている。ハッカーはこの脆弱性により、機密データの可能性もある暗号化されたデータを傍受し、盗むことが可能になるという。


提供:CNET/CBS Interactive

 米国時間2月6日にブログ記事で発表された調査結果には、この問題を抱えたアプリが1800万台以上のデバイスにダウンロードされている可能性があると記されている。

 40本以上のアプリは、中間者攻撃のリスクが「中」または「高」と確認されている。リスクが「高」の場合、攻撃者は金融サービスや医療サービスの認証情報を傍受できる。

 すべての該当するアプリ名が直ちに公表されるわけではないが、これは2~3カ月の「責任ある開示」の期間が適用されたものであり、開発者はこの間に問題を修正する。

 ブログを書いたSudo Security Groupの最高経営責任者(CEO)Will Strafach氏によると、アプリをWi-Fi経由で使わない場合のほうが安全性が高いという。

 「モバイルデータ通信の傍受はより難易度が高く、高価なハードウェアが必要で、はるかに発覚しやすい。それに(米国では)完全に違法だ」(Strafach氏)

 ごく単純な問題の可能性もあるが、一律に修正するのは難しいかもしれない。

 Strafach氏によると、アプリ開発者によるネットワーキングコードの実装が不適切な場合、アプリがあらゆる証明書を受け入れて、暗号化された接続を確立してしまうという。

 攻撃者が脆弱なデバイスの近くにいる場合、攻撃者は問題のアプリが証明書を受け入れるように仕向け、アプリからデータを吸い上げたり、アプリにデータを送り込んだりすることが可能になる。

 さらに悪いことに、Appleの「App Transport Security(ATS)」機能は接続を暗号化された有効なものと認識するため、攻撃者の証明書をブロックしない。

 Strafach氏によると、これはAppleが協力できるようなものではない。仮にAppleがこのセキュリティ上の課題に対処しようとすると、不正な証明書によるなりすましを防ぐ機能である、ピンニングされた証明書を使用することができず、iPhoneおよび「iPad」向けアプリの安全性が下がってしまう可能性があるのだ。

 「アプリ開発者自身が、開発したアプリが脆弱でないようにするしかない」(Strafach氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]