OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告
研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。
米AppleのOS XとiOSのアプリ間認証問題に起因する未解決の深刻な脆弱性について指摘した研究論文が公開された。パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるとしている。
論文は米インディアナ大学やジョージア工科大学、北京大学の研究者が発表した。それによると、OS XとiOSの体系的なセキュリティ分析を行った結果、深刻なセキュリティ問題が発覚。Apple Storesに承認され、サンドボックス化されている悪質アプリを使って、他のアプリの重要データに不正アクセスできてしまうことが分かった。
この問題は、OS Xで使われているパスワード管理ツール「Keychain」や通信プロトコルの「WebSocket」、OS XとiOSのURLスキームなどを含むアプリ間通信サービスが影響を受けるという。マルウェアに悪用されれば、iCloudや電子メール、銀行アプリなどのパスワードが盗まれる恐れもある。
さらに、OS Xのサンドボックスの設計にも脆弱性があることが判明した。サンドボックス化されたマルウェアを使って他のアプリのプライベートディレクトリを露出させ、Evernoteのノートや連絡先、WeChatの写真などを公開させることができてしまうことを実証したとしている。
一連の問題の根本的な原因は、アプリ間およびアプリとOSとの間の認証が欠如していることに起因すると論文では解説し、この問題を突く攻撃を「クロスアプリリソースアクセス攻撃」(XARA)と命名した。問題は影響力の大きいAppleアプリに広がっていると指摘する。
この脆弱性は簡単には修正できないとされ、研究チームでは脆弱性のあるアプリの防御を支援するため、悪用の動きを検出できるというプログラムを公開している。
関連記事
- iOSのメールアプリに問題か、フィッシング悪用の恐れも
問題を悪用された場合、リモートのHTMLコンテンツを読み込んで、本来のメールメッセージのコンテンツに置き替えることができてしまう。 - MacBookにBIOS上書きの脆弱性、研究者が指摘
この問題を悪用すれば、Safariなどのリモートベクトルを使ってEFIルートキットをインストールできてしまう可能性があるという。 - iPhoneのクラッシュ問題、Appleが対策説明
「特定のユニコード文字の連続によって引き起こされるiMessageの問題」をAppleが認め、当面の対策を紹介した。 - Samsung Galaxyに深刻な脆弱性、6億台に影響か
プリインストールされているSwiftKey製のキーボードに脆弱性が存在し、Galaxy S6/S5/S4/S4 Miniの各端末が影響を受けるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.