HTTPSのバグにより、1,500本のiOSアプリが中間者攻撃に対して脆弱になっています。分析会社SourceDNA( arsTechnica経由)によると、このバグにより、悪意のある人物がiPhoneやiPadからデータを傍受し、HTTPSプロトコル経由で送信されるログイン情報などの機密情報にアクセスできるようになる可能性があるとのことです。
9to5Mac:
中間者攻撃は、偽のWi-Fiホットスポットが接続デバイスのデータを傍受することを可能にします。通常、偽のホットスポットは適切なセキュリティ証明書を持っていないため、安全な接続ではこの攻撃は成功しません。しかし、SourceDNAが発見したバグにより、脆弱なアプリは証明書のチェックに失敗します。
数千ものアプリが、サーバーへの接続処理にオープンソースのネットワークコード「AFNetworking」を利用しています。1月にリリースされたバージョン2.5.1には、HTTPSセキュリティ証明書のチェックが機能しないバグが含まれています。
この問題の修正は3月にバージョン2.5.2でリリースされましたが、約1,500個のiOSアプリが依然として古いバージョンを使用しています。
脆弱なアプリには、Citrix OpenVoice Audio Conferencing、Alibaba.com モバイル アプリ、Rotten Tomatoes の Movies by Flixster、KYBankAgent 3.0、Revo Restaurant Point of Sale などがあります。
SourceDNAは当初、脆弱なアプリの名前を公表していなかったが、開発者に問題解決の時間を与えるため、iOSユーザーが開発者別に検索できる検索ツールを提供している。
使用しているアプリが依然として攻撃に対して脆弱であることがわかったユーザーは、公共の Wi-Fi ホットスポットでそのアプリを使用しないようにすることをお勧めします。
このツールを使用して、使用しているアプリに脆弱性があることがわかった場合は、以下のコメント セクションでその情報を他のユーザーと共有してください。
検索ツールは SourceDNA の Web サイトで入手できます。
