ニュース
Apple、App Storeの通信を暗号化 Google研究者の指摘受け
App Storeでは当初、通信の一部が暗号化されておらず、公衆無線LANなどを通じてトラフィックを傍受されたり制御されたりする恐れがあったという。
米AppleがGoogleの研究者から問題を指摘されたことを受け、App StoreでHTTPSを有効にして通信を暗号化する措置を講じた。Googleの研究者エリー・バースタイン氏が3月8日に自身のブログで明らかにした。
バースタイン氏によると、AppleのApp Storeでは当初、通信の一部が暗号化されておらず、公衆無線LANなどを通じてトラフィックを傍受されたり制御されたりする恐れがあった。
具体的には、攻撃者がアプリケーションのアップデート通知の仕組みに介入し、虚偽の通知でユーザーをだまして不正にパスワードを入力させたり、ユーザーがインストールしようとしたアプリを差し替えて、攻撃者のアプリをインストールさせたりできてしまう恐れがあった。
また、偽の更新版をインストールさせたり、アプリのインストールを妨害したり、インストールされているアプリの一覧を流出させたりすることも可能だったとしている。
バースタイン氏は2012年7月にこの情報をAppleに提供。Appleは同氏らの指摘を受けて2013年1月の更新情報で「アクティブコンテンツはデフォルトでHTTPSを介して提供されるようになった」と報告し、問題を修正したことを認めている。
同氏のブログではそれぞれの攻撃について詳しい情報を記載した上で、モバイルアプリの開発者に対し、HTTPSを有効にして安全性を強化するよう促している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.