数千万人のユーザーが被害？10％のアプリに脆弱性「ZipperDown」発見

 
新たに「ZipperDown」と呼ばれる脆弱性がiOSやAndroid上のアプリで発見され、数千万人以上のユーザーが悪意ある攻撃に対して無防備の状態であることが分かりました。この脆弱性によって、App Storeに存在するアプリの約10％が影響を受けると言われています。

特定アプリで任意のコード実行も可能に

中国の研究チームPangu Labによると、ZipperDownと名付けられた脆弱性は「ありふれたプログラミングエラー」に端を発するものだそうです。しかしこの単純なエラーによって、最悪の場合では悪意ある攻撃者がデータを上書きしたり、特定のアプリ上で任意のコード実行をしたりできるため、アプリ開発者側の素早い対応が要求されています。
 
Pangu Labによれば、幸いにも「サンドボックス（SandBox）構造」と呼ばれる、アプリ毎に領域を隔離するセキュリティシステムがiOSでは機能しているため、アプリが同時多発的に攻撃を受けるということはないようです。しかし現状では、App Storeに存在する168,951個のアプリのうち15,978個と、およそ10％がZipperDownの影響を受けることが分かっています。
 
この中には、微博（Weibo）や陌陌（MOMO）、QQ Music、快手（Kwai）といった中国ではしごく一般的に利用されているアプリも含まれています。研究チームは実際に、中国SNSの微博でZipperDownを利用し、コード実行権限を獲得する動画を公開しています。
 

 
また、同様の脆弱性がAndroidのアプリにも見つかっています。

アプリはアップデートで最新に

セキュリティ問題に詳しいウィル・ストラファッハ氏によると、攻撃者は同一のWi-Fiネットワークを介してユーザーに攻撃を仕掛けることが可能となるため、怪しげな公共のWi-Fi接続には注意が必要とのことです。
 
また、同氏はiPhoneユーザーに対し、脆弱性を放置して攻撃されないよう、アプリを定期的にアップデートし最新の状態にしておくよう薦めています。
 
 
Source：Forbes,BLEEPINGCOMPUTER
(kihachi)