ニュース
» 2015年04月22日 07時13分 UPDATE

【更新あり】iOSのライブラリに脆弱性、大手アプリにも多数影響か

「AFNetworking」に存在する脆弱性を悪用された場合、アプリのユーザー認証情報や通信の内容を傍受される恐れがあるという。

[鈴木聖子,ITmedia]

 iOSアプリのネットワーク接続管理に使われている代表的なライブラリ「AFNetworking」に脆弱性が発見され、多数のアプリで修正パッチが適用されないまま脆弱性が放置された状態になっているという。アプリ分析サービス企業のSourceDNAが4月20日のブログで伝えた。

 それによると、AFNetworkingの脆弱性は不適切なSSL証明書チェックに起因するもので、中間者攻撃を仕掛けられてSSLをかわされ、アプリのユーザー認証情報や通信の内容を傍受される恐れがあるという。

 この脆弱性は、2月上旬に公開されたバージョン2.5.1で生じ、3月下旬公開の2.5.2で修正された。この間に更新したアプリに脆弱性が存在する可能性がある。

2015年4月22日午後4時更新

クラスメソッドが運営するブログ「Developers.IO」などによれば、AFNetworking 2.5.2でも脆弱性は解決されておらず、4月20日頃に公開された「AFNetworking 2.5.3」で修正されたもようです。

 AFNetworkingライブラリを使っているiOSアプリは10万本以上になる。SourceDNAが調べたところ、その中で脆弱性が生じてから修正されるまでの間に更新またはリリースされたアプリは約2万本あり、うち約5%に当たる1000本に脆弱性が存在していることが分かった。中には米Yahoo!やMicrosoft、Uber Technologies、Citrixといった大手のアプリも含まれていたという。

iosaps01.jpg SourceDNAが公開した検査ページ

 SourceDNAは、自分が使っているアプリに脆弱性が存在するかどうかを開発者名でチェックできるページも公開している。

関連キーワード

脆弱性 | iOS | Apple


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ