人気のiOSアプリのTLS脆弱性により、中間者攻撃でユーザーデータが傍受される可能性がある

iOS App Store のアプリを調査した結果、多くの人気アプリが TLS 保護の実装が不十分なために「中間者」攻撃に対して脆弱であることが明らかになりました。セキュリティ研究者は、76 個のアプリについて、アプリ開発者のサーバーに送り返されたデータを読み取ることができると主張しています。

Sudoの研究者ウィル・ストラファック氏がApp Storeを一括スキャンした結果、一部のアプリが、通常はトランスポート層セキュリティ（TLS）で保護されているデータを「サイレントに傍受される脆弱性」に陥っていることが判明しました。これらのデータは、Sudoのサーバーに転送される前に読み取られたり、操作されたりする恐れがあります。レポートで特定されたアプリは、iOS 10を搭載したiPhoneと無効なTLS証明書を提供する「悪意のある」プロキシを使ったテストで、読み取り可能なデータを提供するように誘導される可能性があります。

ストラファック氏は、この攻撃はインターネットサービスプロバイダによって実行される可能性はあるが、「西側諸国のほとんどの地域では起こりそうにない」と警告している。攻撃者がWi-Fiホットスポットを装って公共の場所で利用される可能性もあるが、ストラファック氏は、標的デバイスのWi-Fi範囲内であればどこでも効果的に利用でき、必要な範囲に応じて「わずかに改造された携帯電話」やカスタムハードウェアから攻撃を実行できる可能性があると示唆している。

特定されたアプリは合計1,800万回以上ダウンロードされたと考えられており、そのうち33個は低リスクアプリとみなされており、アクセス可能なデータは「部分的に機密性の高い」分析情報や、メールアドレスなどの個人データ、および「非敵対的なネットワークでのみ入力されるログイン認証情報」であることが判明した。

問題となっている脆弱なアプリは1,800万回以上ダウンロードされていると言われている。

24個のアプリで、サービスのログイン認証情報またはセッション認証トークンを傍受する機能が確認されており、この脆弱性のリスクは中程度とされています。さらに19個のアプリは、金融サービスや医療サービスの認証情報を傍受したり、ログインしたユーザーのセッション認証トークンにアクセスしたりする機能があるため、「高リスク」と判断されました。

中リスクまたは高リスクと分類されたアプリは報告書では名前が挙げられていませんが、ストラファック氏は開発者に連絡を取り、問題修正のための時間を与えるため、60～90日以内にこれらのアプリを特定する予定です。低リスクアプリのリストには、メッセージングサービスのooVoo、SnapchatのSnap Upload、Uconnect Access、Tencent Cloud、Trading 212 Forex & Stocksが含まれています。

セキュリティを懸念するエンドユーザーに対し、ストラファッハ氏は、公共の場ではWi-Fiをオフにし、機密データを扱うアプリにアクセスする場合は通信事業者のデータプランを利用するようアドバイスしています。携帯電話回線は依然として同様の攻撃に対して脆弱ですが、Wi-Fiに比べて実行が困難で費用もかかるため、攻撃者が実行する可能性は低くなっています。

iOSアプリの通信を保護するシステムであるAppleのApp Transport Security（ATS）標準は、この攻撃を阻止できないことが指摘されています。ATSはアプリが「証明書の有効性を判断」できるようにする必要があるため、アプリが正規のTLS接続を本物と判断すれば、不正なTLS接続を有効と見なしてしまう可能性があります。

「Apple 側で修正できる可能性はない」と Strafach 氏は断言する。この機能を無効にすると、「接続に証明書ピンニングを利用できなくなり、企業とのイントラネット接続に必要となる可能性のある信頼できない証明書を信頼できなくなるため、一部の iOS アプリケーションのセキュリティが低下する」からだ。

「したがって、アプリが脆弱でないことを保証する責任は、アプリ開発者自身にのみあります。」