分析会社SourceDNA（ arsTechnica経由）によると、1,500種類のiOSアプリがサーバーとの安全な接続を確立する方法にバグがあり、中間者攻撃に対して脆弱になっているという。 このバグにより、iPhoneやiPadからデータを傍受する誰かが、HTTPSプロトコルで送信されるログイン情報などの機密情報にアクセスできるようになる。

中間者攻撃は、偽のWi-Fiホットスポットが接続デバイスのデータを傍受することを可能にします。通常、偽のホットスポットは適切なセキュリティ証明書を持っていないため、安全な接続ではこの攻撃は成功しません。しかし、SourceDNAが発見したバグにより、脆弱なアプリは証明書のチェックに失敗します… 

この脆弱性は、数千ものアプリがサーバーへの接続処理にオープンソースのネットワークコード「AFNetworking」に依存していることに起因しています。1月に導入されたバージョン2.5.1には、HTTPSセキュリティ証明書がチェックされないというバグが含まれています。3週間前にバージョン2.5.2で修正が導入されましたが、App StoreでiOSアプリをスキャンしたところ、約1,500個のアプリが依然として旧バージョンを使用していることが判明しました。

脆弱性のあるアプリをインストールした人の数は推定200万人で、その中にはCitrix OpenVoice Audio Conferencing、Alibaba.comモバイルアプリ、Movies by Flixster with Rotten Tomatoes、KYBankAgent 3.0、Revo Restaurant Point of Saleなどが含まれている。

SourceDNAは当初、開発者にアップデートの時間を与えるため、脆弱なアプリの名前を非公開にしていましたが、現在ではiPhoneおよびiPadユーザーが開発者名で検索できる検索ツールを提供しています。もし使用しているアプリに脆弱性が見つかった場合は、コメント欄で共有し、公共のWi-Fiホットスポットでは使用を避けてください。

Appleは先月、WindowsやAndroidデバイスにも影響を与えたFREAKエクスプロイトの脆弱性を解消するため、iOSとOS Xの両方にセキュリティアップデートをリリースした。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。