• アプリ
• 安全
• アップデート
• 暗号化
• CNN

セキュリティ研究者によると、CNNのiPhoneアプリはiReportersのログイン情報を暗号化せずに公開しているという。

更新：  Apple によると、CNN が iPhone と iPad のアプリの両方に修正プログラムを提出し、現在 App Store で公開されているとのことです。

Zscalerのセキュリティ研究者は、CNNのiPhoneアプリにユーザーのログイン情報とパスワードが漏洩するセキュリティ上の欠陥を発見したと主張しています。ユーザーがサインアップしてニュース記事を投稿できるiReport機能を搭載したiPhone版CNNアプリは、Androidアプリとは異なり、登録/ログイン時にSSL暗号化とSSL証明書のピン留めを使用しておらず、ユーザーの個人情報が暗号化されていない状態でアプリ間で送受信されていると報告されています。レポートによると、CNNのiPadアプリは現在iReport機能を搭載していないため、この脆弱性の影響を受けないとのことです。

現在のCNN iPhoneアプリ（バージョン2.30（ビルド4948）で検証済み）には、 iReportアカウントのパスワードが平文（暗号化されていない）で送信されるという重大な脆弱性があります。これは常に問題となるものですが、特に懸念されるのは、ユーザーがCNNに匿名でニュース記事を投稿できる機能に関連していることです。この問題は、ユーザーが iReport アカウントを初めて作成する際と、その後のログイン時に発生します。

ご覧のとおり、どちらの通信も平文（HTTP）で送信されており、パスワード（p@ssword）は他のすべての登録／ログイン情報と同様に暗号化されていません。ここで懸念されるのは、ユーザーと同じネットワーク上の誰でも被害者のパスワードを容易に盗聴し、アカウントにアクセスできる可能性があることです。パスワードを入手すれば、攻撃者はユーザーのiReportアカウントにアクセスし、匿名性を侵害することができます。同じ認証情報を使用して、ユーザーのWebベースのiReportアカウントにアクセスでき、過去の送信内容にもアクセスできる可能性があります。

Zscaler社は、CNNに対し7月15日にこのセキュリティ脆弱性について通知し、調査中であることを確認したと発表しました。iPhone版CNNアプリは本日アップデートされ、リリースノートには「バグ修正」と記載されていますが、このアップデートがZscaler社が詳細に説明したセキュリティ脆弱性を修正するものであったかどうかは、同社はまだ確認していません。