人気iOSアプリ76本に中間者攻撃の脆弱性、TLS通信傍受や改ざんの恐れ

[鈴木聖子，ITmedia]

人気iOSアプリ76本に脆弱性があると報告された

　AppleのApp Storeで配信されている人気iOSアプリ多数に、TLS（https）接続で守られているはずのデータを傍受されたり、改ざんされたりする脆弱性が確認されたとして、セキュリティ企業Sudo Security Groupの研究者が報告した。

　それによると、Sudo SecurityではWebベースのモバイルアプリ分析サービス「verify.ly」の開発に当たり、Apple App Storeで配信されているアプリケーションのバイナリコードを自動スキャンして調査。iOS 10を搭載したiPhoneで、不正なプロキシを使って無効なTLS証明書を挿入するテストを行って脆弱性を確認した。

　その結果、人気iOSアプリ76本で、TLSで守られているはずの接続に対して中間者攻撃を仕掛けて、移動中のデータの傍受や改ざんができてしまうことが分かった。Apptopiaの推計によると、この脆弱性が確認されたアプリは、合計で1800万回以上もダウンロードされているという。

　中でも19本は、金融サービスや医療サービスへのログイン情報やセッション認証トークンを傍受できてしまうことが確認され、危険度が高いと判定。それ以外の24本についても、ログイン情報やセッション認証トークンの傍受が可能であることから中程度のリスクと位置付けている。

　残る33本については、傍受される恐れがあるのは部分的にセンシティブなデータにとどまることからリスクは低いとしている。

低リスクの脆弱性が存在するアプリ33本の名称はブログで公表している（出典：Sudo Security Group）

　この脆弱性を発見した研究者は、低リスクの脆弱性が存在するアプリ33本の名称は公表する一方で、中程度〜高リスクのアプリについては現時点で公表を差し控え、銀行や医療機関などセンシティブなアプリの開発者に通知してから60〜90日以内に名称を公表する予定。

　この脆弱性は、Wi-Fiを通じてユーザーが知らないうちに悪用される恐れがあるという。携帯電話接続でも脆弱性を突くことは可能だが、データの傍受は難易度が高くユーザーにも気付かれやすいと指摘している。研究者は当面の措置として、公共の場で銀行アプリなどのセンシティブなアプリを使う場合は、Wi-Fiを無効にするなどの対策を呼び掛けている。