AppBugsの最近のレポートによると、Walmart、ESPN、Slack、SoundCloudといった企業が提供する人気のiOSおよびAndroidアプリに、パスワードクラッキングの脆弱性が発見されました。セキュリティ企業AppBugsによると、数十の人気アプリに、ログイン試行回数に制限がないという脆弱性が存在します。これは、パスワードを推測してアカウントにアクセスできる攻撃者にとって、明らかに隙を与えていることになります。

最も安全なアプリでは、パスワードを正しく入力しないと強制的にリセットされ、一定回数入力を試行するとロックアウトされます。

AppBugsは、最も人気のあるアプリをテストし、その脆弱性を検証しました。パスワード保護されたウェブアカウントをサポートする人気アプリ100個を対象に、ダウンロード回数が100万回以上のアプリのみを対象としました。その結果、100個のアプリのうち53個に脆弱性が見つかりました。

これらのアプリを保護するため、セキュリティ企業は開発者に30日間の猶予を与え、セキュリティ上の懸念事項を修正しました。AppBugsはこれまでに、これらのアプリのうちごく一部のアプリ名を公開しています。本日公開されたアプリには、Songza、Pocket、Wunderlist、iHeartRadio、WatchESPN、Expedia、Dictionary、CNN、Domino's Pizza USA、Zillow、AutoCAD 360、Slack、SoundCloud、Kobo、Walmartなどがあります。このリストのうち、Dictionary WunderlistとPocketのみが問題を修正しています。その他のアプリは依然としてパスワードクラッキングの脆弱性が残っています。7月30日には、現在未公開の残りのアプリ名が公開される予定です。

ユーザー側では、起こりうる攻撃から身を守るためにできることはほとんどありません。昨年のiCloud攻撃を振り返るだけでも、それが起こり得ること、そして実際に起こっていることがわかります。推測されにくい、本当に安全なパスワードを設定しているなら、リスクは間違いなく低くなります。しかし、モバイルアプリでは、パスワードは入力しやすく覚えやすいように作られている可能性が高いです。これは当然のことながら、安全性を低下させます。

個人的には、1Passwordを使って複数のデバイスでパスワードを管理しています。新しいアカウントを作るたびに、覚えられない安全なパスワードを生成しています。ユーザー側でセキュリティ対策を講じるという点では、ほぼこれが限界です。2段階認証が利用できる場合は有効にしましょう（リストにあるアプリはどれも2段階認証に対応していません）。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。