2017年2月8日水曜日

人気iOSアプリ多数に脆弱性、通信傍受やデータ改ざんの恐れ

 AppleのApp Storeで配信されている人気iOSアプリ多数に、TLS(https)接続で守られているはずのデータを傍受されたり、改ざんされたりする脆弱性が確認されたとして、セキュリティ企業Sudo Security Groupの研究者が報告した。

 それによると、Sudo SecurityではWebベースのモバイルアプリ分析サービス「verify.ly」の開発に当たり、Apple App Storeで配信されているアプリケーションのバイナリコードを自動スキャンして調査。iOS 10を搭載したiPhoneで、不正なプロキシを使って無効なTLS証明書を挿入するテストを行って脆弱性を確認した。

 その結果、人気iOSアプリ76本で、TLSで守られているはずの接続に対して中間者攻撃を仕掛けて、移動中のデータの傍受や改ざんができてしまうことが分かった。Apptopiaの推計によると、この脆弱性が確認されたアプリは、合計で1800万回以上もダウンロードされているという。

 中でも19本は、金融サービスや医療サービスへのログイン情報やセッション認証トークンを傍受できてしまうことが確認され、危険度が高いと判定。それ以外の24本についても、ログイン情報やセッション認証トークンの傍受が可能であることから中程度のリスクと位置付けている。

 残る33本については、傍受される恐れがあるのは部分的にセンシティブなデータにとどまることからリスクは低いとしている。

0 comments:

コメントを投稿