ロジャー・フィンガス
· 1分で読めます
月曜日に発表された調査によると、約1,500個のiOSアプリが、ハッカーがHTTPSセキュリティを回避し、パスワードやその他の機密データを盗む可能性のある脆弱性にさらされている。
分析会社SourceDNAによると、この問題の原因は、多くのアプリがネットワーク機能に使用しているオープンソースのコードライブラリ「AFNetworking」にあるという。1月にリリースされたバージョン2.5.1には、同じWi-Fiネットワーク上の、あるいは接続を監視できる人物が偽のSSL証明書を提示し、HTTPSデータを復号化できるバグが誤って組み込まれていた。
この不具合により、AFNetworking は検証チェックをスキップしてしまいます。この問題はArsTechnicaによって最初に指摘されました。
この問題は3週間前のv2.5.2アップデートで解決されましたが、Alibaba、Uber、Movies by Flixster、Citrix OpenVoice Audio Conferencingなどの有名タイトルを含む多くのiOSアプリが依然として古いコードを使用しています。
脆弱性のあるアプリの数は1,500本を超える可能性があります。SourceDNAは、App Storeにある140万タイトルのうち100万タイトルを分析しました。これには無料アプリはすべて含まれますが、有料アプリは上位5,000タイトルのみが含まれています。影響を受けたアプリは、AFNetworkingの古いバージョンを使用していただけでなく、HTTPSに特定の証明書のみを許可する証明書ピンニングも使用していませんでした。AFNetworkingでは、ピンニングはデフォルトで無効になっています。
SourceDNAは最終的な集計を行う前に、開発者に非公開で連絡を取り、一部の開発者に問題の修正を依頼しました。Uber、Yahoo、Microsoftといった大手企業はアプリの修正を行ったとされていますが、一部のアプリは依然として脆弱性が残っています。ウェブベースの検索ツールを使えば、アプリが脆弱なのか、既にパッチが適用されているのかを確認できます。
先週末、セキュリティ研究者のパトリック・ウォードル氏は、OS X 10.10.3ではRootPipeが完全に修正されていないと報告しました。RootPipeは、Macソフトウェアが認証なしでルートアクセスを取得できる脆弱性です。ウォードル氏は、安全性を考慮して詳細は公表を控えているものの、既にAppleに通知済みだと述べています。
