AppleInsiderスタッフ
· 1分で読めます
アップルは金曜日、いわゆるクロスアプリリソースアクセス(XARA)の脆弱性の発見についてコメントし、今週初めにサーバー側のセキュリティアップデートを展開し、現在は研究者と協力して追加の修正に取り組んでいると述べた。
iMoreに提供された声明の中で、AppleはXARAの脆弱性と、OS XおよびiOS上の悪意のあるソフトウェアによる潜在的な悪用の可能性を認識していることを認めました。ダウンロードされたマルウェアや不正なURLスキームは、サンドボックス化されたアプリ間で転送されるデータを傍受し、パスワードや認証キーなどの機密情報も盗みます。
Appleの広報担当者は、「今週初め、アプリデータを保護し、サンドボックス設定に問題のあるアプリをMac App Storeからブロックするサーバー側アプリセキュリティアップデートを実装しました。現在、追加の修正作業を進めており、研究者と協力して論文の主張を調査中です」と述べた。
これらの脆弱性は、インディアナ大学、ジョージア工科大学、中国の北京大学の研究者チームによって昨年発見され、昨年10月にAppleに報告されました。Appleは、この脆弱性に関する詳細を6ヶ月間公表しないよう要請しました。
今週公開された同グループの研究論文で説明されているように、悪意のあるアプリはOS XとiOSにおけるアプリ間データの移動と保存方法の脆弱性を悪用します。OS Xの場合、App Storeからダウンロードされたマルウェアは、キーチェーンデータベースとバンドルIDにアクセスして変更することが可能です。バンドルIDはアクセス制御の一形態として使用されます。その他の攻撃には、WebSocketやURLスキームが関与しています。
iMoreによると、脅威は確かに現実のものですが、一部の報道機関はXARAの危険性を過大評価している可能性があるとのことです。しかしながら、修正を実施するには、Appleと開発者の双方が、より厳格なプロトコルを用いてデータ処理方法を見直す必要があります。
