Oligur

• ニュース

新たな報告によると、約 1,500 個の iOS アプリに重大なセキュリティ上の欠陥があり、パスワード、銀行口座情報、その他の機密データを盗もうとするハッカーに対して脆弱になっているという。

セキュリティ分析会社SourceDNAが先月特定したこのバグは、脆弱性を含んでいたオープンソースコードのアップデートで修正されました。しかし、一部のアプリ開発者はまだ新しいバージョンにアップデートしていません。

幸いなことに、お気に入りのアプリが脆弱かどうかを検索して確認することができます。

Ars Technicaによると、このバグは1月にリリースされた「開発者がアプリにネットワーク機能を組み込むことを可能にするオープンソースのコードライブラリ」であるAFNetworkingのバージョンに存在した。この脆弱性により、中間者攻撃が可能になり、広く使用されているインターネットセキュリティプロトコルであるHTTPSで暗号化されたデータにハッカーがアクセスできる可能性がある。

AFNetworking バージョン 2.5.1 を実行しているアプリで攻撃がどのように機能するかについて、Ars Technica は次のように説明しています。

このバグを悪用するには、カフェのWi-Fiネットワークなど、脆弱なデバイスの接続を監視できる場所にいる攻撃者が、偽造されたSSL証明書を提示するだけで済みます。通常であれば、この認証情報は偽造であると即座に検知され、接続は切断されます。しかし、バージョン2.5.1のコードには論理エラーがあり、検証チェックが実行されないため、偽造された証明書が完全に信頼されてしまいます。

SourceDNAは、欠陥のあるコードを特定した後、App Storeにある140万タイトルすべてをスキャン・分析し、どのアプリがこのバグの影響を受けているかを確認しました。影響を受けたソースコードを含むアプリは比較的少数ですが、Rotten Tomatoesで評価されている人気アプリ「Movies by Flixster」など、月曜日時点で依然として脆弱性が残っているアプリもあると報告されています。

SourceDNA の iOS セキュリティ レポートを検索して、使用しているアプリがこの重大なセキュリティ上の欠陥に対して脆弱であるかどうかを確認できます。