ケビン・ボスティック
· 1分で読めます
ユーザーがApp Storeに接続する方法に脆弱性がある可能性があるという警告を受けてから少なくとも6か月後、Appleはユーザーの接続に暗号化を追加し、セキュリティホールを塞いだ。
Googleのセキュリティ研究者、エリー・バーステイン氏は自身のブログで、昨年7月にAppleに対し、App Storeに接続しているユーザーに影響を与える脆弱性について攻撃の可能性を警告したと述べたとCNetが報じている。バーステイン氏が指摘したこの脆弱性は、AppleがApp Storeとの通信の一部にHTTPSではなく暗号化されていないHTTPプロトコルを使用していることで発生した。
Bursztein 氏は、理論上は悪意のあるネットワーク攻撃者が HTTP を利用してユーザーのパスワードを盗んだり、ユーザーが探しているアプリではなく特定のアプリをインストールさせたり、ユーザーを騙して偽のアプリのアップグレードをダウンロードさせたり、アプリケーションのインストールを阻止したり、ユーザーのデバイス上のアプリをスキャンしたりできると指摘した。
Bursztein 氏は今年初め、攻撃がどのように行われるかを詳しく説明したビデオを複数公開し、攻撃手法に関する追加の技術的詳細も公開しました。
Appleは2月23日に公開されたApple Web Serverの通知アップデートでこの問題に対応しました。アクティブコンテンツはデフォルトでHTTPS経由で提供されるようになりました。Appleは、この問題を指摘したBursztein氏、Recurity LabsのBernhard Brehm氏、Bejoi LLCのRahul Iyer氏に感謝の意を表しました。
App Storeは過去にも定期的に攻撃の標的となってきました。2010年には、アカウント詐欺により一部のユーザーが数百ドル相当の誤請求を受けた事件を受け、Appleはオンラインマーケットプレイスのセキュリティを強化しました。
2012年4月、Appleはセキュリティプロトコルを再度更新し、アカウントに紐付ける際にユーザーにセキュリティに関する質問への回答を求める措置を追加しました。ユーザーが新しいデバイスからサインオンする場合、iTunesとApp Storeでは、本人確認のため、これらの質問への回答が求められるようになりました。
