iPhoneアプリのデジタル署名に弱点が存在不正コンポーネント提供に利用も

iPhoneアプリケーションの作者がiPhoneのセキュリティ機能をかわして不正コンポーネントを仕込むことができる方法を報告した。

» 2008年11月18日 08時34分 公開
[ITmedia]

 iPhoneアプリケーションの作者がiPhoneのセキュリティ機能をかわして不正なコンポーネントを仕込むことができる方法が報告している。セキュリティ企業の米McAfeeがブログで伝えた。

 開発者がiPhoneのオフィシャルSDKを使って構築したアプリケーションをiPhone用の公式アプリケーションとして提供するためにはデジタル署名を付ける必要がある。この過程でプログラムファイルやコンポーネントの一部を隠す方法があることを、ある開発者が発見しインターネットに公開した。

 デジタル署名の目的は、アプリケーションに無断で手を加えて危険な機能が搭載されるのを防ぐことにある。しかしこの方法を使うと、攻撃者が自己更新機能を使って悪質なコンポーネントを仕込むことができるようになり、iPhone OSのセキュリティ機能をかわすことができてしまうという。

 ただし、アプリケーションの署名を使えばマルウェアの作者は容易に突き止められるとMcAfeeは指摘。脆弱性はiPhone SDKのユーティリティとiPhone OSの認証システムに存在するため、近くアップデートで対処されるだろうとしている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.