76の人気アプリで脆弱性が発見される―原因はウェブからコードを借用したから?

    App Store

    App Store
     
    iOSのApp Storeで公開されている76のアプリが、セキュリティ面で脆弱性に晒されていることが発覚しました。合計で1,800万ダウンロードもされているだけに、デベロッパー側の早急な対応が急務とされています。

    プライベートな個人情報が含まれたアプリも

    76のアプリに脆弱性があることを突き止めたのは、Sudo Security Groupのウィル・ストラッハ最高経営責任者(CEO)です。同氏によると、これはデベロッパー側が誤ったコードをアプリに記載したために起こった問題で、これらのアプリは、本来であれば無効であるはずのTLS(トランスポート・レイヤー・セキュリティ)証明書まで認証してしまう仕様になっているそうです。
     
    TLSはアプリがインターネットに接続する際、アプリのコミュニケーションを安全なものにする役割を担っています。TLSなしでは、ハッカーはログイン情報など、アプリが送信したデータをWi-Fiネットワーク越しに盗み見ることができてしまいます。
     
    問題とされている76種類のアプリのうち、33種類は保有しているユーザーの情報がEメールアドレスに留まっているため、仮に攻撃されても危険度は低いとのことですが、残りの43種類は銀行や医療関係などのアプリであり、攻撃されれば秘匿性の高い個人情報が流出しかねません。
     
    ことの重大性をかんがみて、該当するアプリの詳細については明らかにされていませんが、すでにストラッハ氏はアプリのデベロッパー側に連絡をとり、問題を修復してもらうよう依頼しているとのことです。

    デベロッパーが理解せずにコピペしたことが原因?

    しかし、なぜ無効のTLSを許可してしまうようなコードが、広範なアプリに共有されていたのでしょうか。
     
    「ネットワークに関連するコードを挿入するときや、アプリの動作を変更するときは、極めて気をつける必要がある」とはストラッハ氏。「今回の問題のいくつかは、アプリのデベロッパーがよく理解せずに、ウェブからコードを借用したことに起因する」
     
    つまり、深い考えもなくウェブサイトに公開されていたコードをデベロッパーたちが借用した結果、このような問題が複数のアプリで起きてしまったというわけです。
     
    ストラッハ氏によれば、問題となっているアプリを使っているユーザーは、公共の場でWi-Fiを切断することで、攻撃を防げるようになるそうです。Wi-Fiではなくセルラー回線でも攻撃は可能ですが、Wi-Fiの時に比べて多大なコストがかかるため、リスクは低まるとのことです。
     
     
    Source:PCWorld
    (kihachi)

    この記事がお役に立ったらシェアお願いします
    目次