納税シーズンとインフルエンザの季節が重なるとどうなるでしょうか?かつては多くの人にとって、頭痛、吐き気、そして全身倦怠感に悩まされることは必至でした。しかし今では、あらゆるアプリが存在し、多くのアプリが家計管理や健康状態の追跡を容易にすると謳っています。しかし、唯一の問題は、ある研究者がApp Storeの多くのアプリが、安全であるはずの接続を介して中間者攻撃(MITM)に対して脆弱であることを発見したことです。
「当社のシステムは、数百のアプリケーションにデータ傍受の脆弱性がある可能性が高いというフラグを立てました」とストラファック氏はセキュリティ上の欠陥に関する投稿で述べた。「しかし今回は、iOS 10を実行している実際のiPhoneと、無効なTLS証明書を接続に挿入する「悪意のある」プロキシを使用してテストし、脆弱性があることを完全に確認できた接続とデータの詳細を公開します。」
ストラファック氏は、Vice News、ScanLifeのコードスキャナーなど、機密データを管理していないものの、これらの中間者攻撃に対して脆弱な33のアプリケーションを明らかにしました。この脆弱性は、さらに24のアプリに対して中程度のリスク、さらに19のアプリに対して高リスクと判断されました。ストラファック氏は開発者に問題解決の時間を与えたいと考え、これらのアプリの正体は明らかにしませんでした。76のアプリは合計1,800万回ダウンロードされています。
この脆弱性により、攻撃者はこれらのアプリで処理されるTLS保護データを傍受または改ざんできる可能性があります。ストラファック氏は次のように説明しています。
この脆弱性クラスを悪用してデータを傍受したり操作したりできる可能性のある経路は、ネットワーク経路上に数多く存在します。ISPや不正なWi-Fiプロバイダーが攻撃者となる可能性は確かにありますが、ほとんどの欧米地域では可能性は低く、深刻なリスクとは考えられていません。この種の中間者攻撃に関して、よくコーヒーショップや空港でのWi-Fi接続の使用を例に挙げますが、最近私はこの例えを好まなくなっています。誤解しやすく、攻撃の可能性を過小評価しがちなからです。実際のところ、この種の攻撃は、デバイスが使用中のWi-Fi範囲内にいるあらゆる人物によって実行される可能性があります。これは公共の場であればどこでも可能であり、攻撃者が至近距離にいれば自宅内でも実行可能です。このような攻撃は、必要な範囲と機能に応じて、カスタムハードウェア、またはわずかに改造された携帯電話のいずれかを使用して実行される可能性があります。
消費者は、財務、健康データ、その他の個人情報を扱うような機密性の高いアプリを使用する際は、携帯電話ネットワークに切り替えることを推奨されています。なぜなら、米国では「携帯電話による傍受はより困難で、高価なハードウェアが必要であり、はるかに目立ちやすく、完全に違法」だからです。ストラファック氏は、企業や開発者も、人々が最も機密性の高いデータを託すアプリを開発する際には、より慎重になるべきだと述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ストラファック氏は、この脆弱性の調査を継続し、60~90日以内に詳細情報を公開すると述べた。これにより、多くの企業や開発者がアプリを更新するか、少なくとも問題を認識し、何百万人ものユーザーが攻撃の危険にさらされないようにするための十分な時間が得られるはずだ。そうすれば、「人気の金融アプリや健康アプリから個人データが盗まれる」という事態は、今シーズンの懸念事項のリストから消えるかもしれない。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
