iOS 7.0.6が想像以上に重要なアップデートである理由
Analysis

iOS 7.0.6が想像以上に重要なアップデートである理由

  • Oligur
  • 0
  • vyzf
iOS 7.0.6が想像以上に重要なアップデートである理由
  • ニュース
iOS 6.0.6

2月21日、AppleはiOS 7.0.6をリリースしました。これは「SSL接続検証の修正」を含む小規模なソフトウェアアップデートです。同じSSL修正は、古いiOS 6デバイスとApple TVにもリリースされています。Appleは定期的に小規模なバグ修正をリリースしているため、一見すると7.0.6はごく普通のアップデートのように見えました。

しかし実際には、Appleは長年にわたり数百万人のユーザーのデータを危険にさらす可能性があった重大なセキュリティ欠陥を修正しました。「gotofail」というニックネームを持つこのバグは、かなり長い間気づかれずに放置されており、OS Xでは未だに修正されていません。

GotofailはiOS 6の導入当初から存在していたとされており、その影響は極めて深刻です。これまで、SSL接続でインターネットを利用するiOSデバイスは、ハッカーによるデータ傍受、いわゆる「中間者攻撃」に対して脆弱でした。

基本的に、このバグはSSL/TLS経由のセキュアなウェブトラフィックを、同じネットワーク上の第三者が乗っ取ることを許します。この脆弱性を知っている人なら、比較的簡単に乗っ取ることができます。

セキュリティ会社CrowdStrikeは次のように説明しています。

iOSおよびOS Xプラットフォームの認証ロジックに欠陥があり、攻撃者は最初の接続ハンドシェイク時にSSL/TLS検証ルーチンをバイパスできます。これにより、攻撃者は信頼できるリモートエンドポイント(お気に入りのウェブメールプロバイダなど)からのアクセスを装い、ユーザーと宛先サーバー間の暗号化トラフィックを完全に傍受し、転送中のデータを改ざんする(例えば、システムを制御するためのエクスプロイトを配信する)能力を獲得することが可能になります。

GotofailはSafariやメッセージなどのAppleのアプリとサービスに限定されています。そのため、Chromeなどのサードパーティブラウザでも問題なく動作するはずです。

Apple のソフトウェア更新メカニズムを含め、OS X の多くの部分には依然として脆弱性が残っています。

Safari 以外にも、脆弱な Apple #gotofail SSL ライブラリに依存しているアプリがいくつかあります /cc @a_greenberg pic.twitter.com/ombDOOa01A

— アシュカン・ソルタニ (@ashk4n) 2014年2月23日

他の著名なハッカーたちもこの調査結果に対して懸念を表明している。

Appleが修正したSSLバグを悪用するのに、iOSの専門知識は必要ありません。通常のiOSバグよりも多くの人がSSLバグを(悪意を持って)悪用できるのです。

— MuscleNerd (@MuscleNerd) 2014年2月22日

公共Wi-Fiネットワーク(ソチ?)をご利用の方は、iOS 7.0.6にアップデートしていないiOSデバイスは使用しないでください。Mac Bookも使用しないでください。— pod2g (@pod2g) 2014年2月22日

そうですね、iOS 7.0.6 未満のセキュリティは非常に悪いので、皆さんにすぐにアップデートすることをお勧めします。 — pod2g (@pod2g) 2014年2月22日

理解するのは難しくありません。HTTPSはOSXおよびiOS 7.0.6未満では動作しません。パスワードやクレジットカード情報がネットワーク上で傍受される可能性があります。

— pod2g (@pod2g) 2014年2月22日

銀行でさえ顧客に連絡を取り、iOS 7.0.6への即時アップデートを推奨しています。オンライン専業銀行のSimpleは昨日、顧客宛てのメールで「お客様の情報を可能な限り安全に保つために、このアップデートをできるだけ早くインストールしてください」と警告しました。

これらすべての中で最も憂慮すべきは、Daring Fireballのジョン・グルーバー氏が提唱する理論でしょう。Gotofailは2012年9月のiOS 6のリリースと同時に導入され、Appleは2012年10月にNSAのスパイ活動「PRISM」に加わりました。

一度導入されれば、NSAはソースコードを手作業で読んでバグを見つける必要さえなかったでしょう。必要なのは、偽造証明書を用いた自動テストを、各OSのリリースごとに実行するだけです。AppleがiOSをリリースすると、NSAの自動偽造証明書テストで脆弱性が発見され、あっという間にAppleはPRISMに「追加」されてしまうのです。

あるいは、何もなく、すべては偶然なのかもしれません。

ロイター通信によると、Appleは昨夜、OS Xにまだ存在する同じSSLバグを認識しているという声明を発表した。修正プログラムは近日中にリリースされる予定だ。

アップルは土曜日、スパイやハッカーがマックから電子メールや金融情報などの機密データを入手する能力を遮断するためのソフトウェアアップデートを「近日」リリースすると発表した。

アップルの広報担当トルーディー・ミュラー氏は、iPhoneとiPadの重大なセキュリティ欠陥がMac OS X搭載のノートパソコンやデスクトップパソコンにも存在するという研究者の調査結果を金曜遅くに認め、ロイター通信に次のように語った。「当社はこの問題を認識しており、すでにソフトウェア修正プログラムを用意しており、近日中にリリースする予定です。」

Related Posts

無印良品のミニマリズムを体現するBluetoothスピーカー
無印良品のミニマリズムを体現するBluetoothスピーカー
vyzf
最初の1000人の顧客を獲得する方法 [お得情報]
最初の1000人の顧客を獲得する方法 [お得情報]
vyzf
PopClip拡張機能で数字を合計
PopClip拡張機能で数字を合計
vyzf
Instagram、アクティブユーザー1億人を突破
Instagram、アクティブユーザー1億人を突破
vyzf
スティーブ・ジョブズはオーストラリア人の3分の1にとって夢の上司だ
スティーブ・ジョブズはオーストラリア人の3分の1にとって夢の上司だ
vyzf
次のiPhoneは手話を読み取れるようになるかもしれない
次のiPhoneは手話を読み取れるようになるかもしれない
vyzf
Apple:はい、初期のiPod nanoは過熱する可能性があります
Apple:はい、初期のiPod nanoは過熱する可能性があります
vyzf
今週のAppleのお買い得品:iPadとSIMフリーiPhoneをお得に購入
今週のAppleのお買い得品:iPadとSIMフリーiPhoneをお得に購入
vyzf
レポート:iTunesファン数で日本が米国を上回る
レポート:iTunesファン数で日本が米国を上回る
vyzf

You may also like

Apple:はい、初期のiPod nanoは過熱する可能性があります
Apple:はい、初期のiPod nanoは過熱する可能性があります
Apple
最初の1000人の顧客を獲得する方法 [お得情報]
最初の1000人の顧客を獲得する方法 [お得情報]
Apple
Instagram、アクティブユーザー1億人を突破
Instagram、アクティブユーザー1億人を突破
Apple
次のiPhoneは手話を読み取れるようになるかもしれない
次のiPhoneは手話を読み取れるようになるかもしれない
Apple
PopClip拡張機能で数字を合計
PopClip拡張機能で数字を合計
Analysis
スティーブ・ジョブズはオーストラリア人の3分の1にとって夢の上司だ
スティーブ・ジョブズはオーストラリア人の3分の1にとって夢の上司だ
Apple
無印良品のミニマリズムを体現するBluetoothスピーカー
無印良品のミニマリズムを体現するBluetoothスピーカー
Apple
今週のAppleのお買い得品:iPadとSIMフリーiPhoneをお得に購入
今週のAppleのお買い得品:iPadとSIMフリーiPhoneをお得に購入
Apple
レポート:iTunesファン数で日本が米国を上回る
レポート:iTunesファン数で日本が米国を上回る
Analysis