76の人気アプリで脆弱性が発見される―原因はウェブからコードを借用したから？

 
iOSのApp Storeで公開されている76のアプリが、セキュリティ面で脆弱性に晒されていることが発覚しました。合計で1,800万ダウンロードもされているだけに、デベロッパー側の早急な対応が急務とされています。

プライベートな個人情報が含まれたアプリも

76のアプリに脆弱性があることを突き止めたのは、Sudo Security Groupのウィル・ストラッハ最高経営責任者（CEO）です。同氏によると、これはデベロッパー側が誤ったコードをアプリに記載したために起こった問題で、これらのアプリは、本来であれば無効であるはずのTLS（トランスポート・レイヤー・セキュリティ）証明書まで認証してしまう仕様になっているそうです。
 
TLSはアプリがインターネットに接続する際、アプリのコミュニケーションを安全なものにする役割を担っています。TLSなしでは、ハッカーはログイン情報など、アプリが送信したデータをWi-Fiネットワーク越しに盗み見ることができてしまいます。
 
問題とされている76種類のアプリのうち、33種類は保有しているユーザーの情報がEメールアドレスに留まっているため、仮に攻撃されても危険度は低いとのことですが、残りの43種類は銀行や医療関係などのアプリであり、攻撃されれば秘匿性の高い個人情報が流出しかねません。
 
ことの重大性をかんがみて、該当するアプリの詳細については明らかにされていませんが、すでにストラッハ氏はアプリのデベロッパー側に連絡をとり、問題を修復してもらうよう依頼しているとのことです。

デベロッパーが理解せずにコピペしたことが原因？

しかし、なぜ無効のTLSを許可してしまうようなコードが、広範なアプリに共有されていたのでしょうか。
 
「ネットワークに関連するコードを挿入するときや、アプリの動作を変更するときは、極めて気をつける必要がある」とはストラッハ氏。「今回の問題のいくつかは、アプリのデベロッパーがよく理解せずに、ウェブからコードを借用したことに起因する」
 
つまり、深い考えもなくウェブサイトに公開されていたコードをデベロッパーたちが借用した結果、このような問題が複数のアプリで起きてしまったというわけです。
 
ストラッハ氏によれば、問題となっているアプリを使っているユーザーは、公共の場でWi-Fiを切断することで、攻撃を防げるようになるそうです。Wi-Fiではなくセルラー回線でも攻撃は可能ですが、Wi-Fiの時に比べて多大なコストがかかるため、リスクは低まるとのことです。
 
 
Source：PCWorld
(kihachi)