金曜アップルがiOS 7.0.6を突然リリースしましたね。リリースノートには、
とサラリと書かれてるだけなのですが、日本語化されてない英語の詳細ページにはこう書かれていて…
権限のあるネットワークポジションにいる攻撃者は、SSL/TLSで保護されているセッションでもデータを拾ったり書き換えたりできる。…とんでもないバグであることがわかります。悪いことは言わないので、今すぐiPhoneをアップデートしておきましょうね。
あーあと、OS Xにも同じ問題があるんですが、そちらはまだ修正パッチないようです。
このアップデートの本当の怖さがわかる人なら速攻でiOSアップデートしてると思いますよ。理由を少し説明しますね。
SSLとは何?
SSLは「Secure Sockets Layer」の略で、ブラウザとサイトのサーバーとの間の通信内容を他人に見られないようにするものです。TLSは「Transport Layer Security」の略で、役割はSSLと基本的に同じ。SSLよりもっと後でできたプロトコルです。
SSLもTLSもブラウザとサーバーが互いに相手の身元を確かめるための暗号鍵で、これでデジタルの握手を水面下で行って信用を確かめ合っているから、アマゾンの決済やオンラインの残高照会の時も情報はセキュアに保たれているんです。
この一連の確認作業は全部バックグラウンドで行われます。我々ユーザー側は検索バーに鍵のアイコンが出る時に「あーセキュアなサイトだな」ってわかる程度で、SSL/TLSと直接やりとりすることはありません。
アップルの今回のバグでは、ここがうまく機能してなかったんですね。iOSは今回修正しましたけどOS Xはまだ。アップルはOS Xの修正パッチも「まもなく」出すってロイター通信には言ってますけど、当面はSafariや影響を受けるその他のアプリでサイトにアクセスする際には通信相手が本物かどうか確認のしようがありません。つまりウェブで流す情報はすべて中間者に傍受・改ざんされる危険があるということになります。
中間者攻撃とは?
中間者攻撃(Man in the Middle Attack。以下MitM)とはハイテクな通信傍受、盗聴のことです。今回の場合、共有ネットワーク上でMitM攻撃者はブラウザとサイトの間で行き来するデータに侵入し、それを監視、記録、閲覧できます。…
0 comments:
コメントを投稿