iOSのApp Storeで公開されている76のアプリが、セキュリティ面で脆弱性に晒されていることが発覚しました。合計で1,800万ダウンロードもされているだけに、デベロッパー側の早急な対応が急務とされています。
プライベートな個人情報が含まれたアプリも
76のアプリに脆弱性があることを突き止めたのは、Sudo Security Groupのウィル・ストラッハ最高経営責任者(CEO)です。同氏によると、これはデベロッパー側が誤ったコードをアプリに記載したために起こった問題で、これらのアプリは、本来であれば無効であるはずのTLS(トランスポート・レイヤー・セキュリティ)証明書まで認証してしまう仕様になっているそうです。
TLSはアプリがインターネットに接続する際、アプリのコミュニケーションを安全なものにする役割を担っています。TLSなしでは、ハッカーはログイン情報など、アプリが送信したデータをWi-Fiネットワーク越しに盗み見ることができてしまいます。
問題とされている76種類のアプリのうち、33種類は保有しているユーザーの情報がEメールアドレスに留まっているため、仮に攻撃されても危険度は低いとのことですが、残りの43種類は銀行や医療関係などのアプリであり、攻撃されれば秘匿性の高い個人情報が流出しかねません。
ことの重大性をかんがみて、該当するアプリの詳細については明らかにされていませんが、すでにストラッハ氏はアプリのデベロッパー側に連絡をとり、問題を修復してもらうよう依頼しているとのことです。
デベロッパーが理解せずにコピペしたことが原因?
しかし、なぜ無効のTLSを許可してしまうようなコードが、広範なアプリに共有されていたのでしょうか。
「ネットワークに関連するコードを挿入するときや、アプリの動作を変更するときは、極めて気をつける必要がある」とはストラッハ氏。「今回の問題のいくつかは、アプリのデベロッパーがよく理解せずに、ウェブからコードを借用したことに起因する」
つまり、深い考えもなくウェブサイトに公開されていたコードをデベロッパーたちが借用した結果、このような問題が複数のアプリで起きてしまったというわけです。
ストラッハ氏によれば、問題となっているアプリを使っているユーザーは、公共の場でWi-Fiを切断することで、攻撃を防げるようになるそうです。Wi-Fiではなくセルラー回線でも攻撃は可能ですが、Wi-Fiの時に比べて多大なコストがかかるため、リスクは低まるとのことです。
Source:PCWorld
(kihachi)
Apple、iOS製品アクセサリ向けコネクターに新規格「UAC」を導入か
iPhone8の大ヒットを予測し、Appleが在庫準備を前倒しで開始か
