2014年7月~2016年4月における「セキュリティ上の欠陥」に関する5つのニュース
すべてのストーリーを見る
- AAPL社
- iOS
- iOSデバイス
- アップルニュース
- iPhone 6
FBIがAppleにiOSとMacソフトウェアのセキュリティ欠陥について警告…しかし、これはすでにiOS 9で修正されていた
2016年4月27日午前4時18分(太平洋標準時)
FBIは、3月下旬の法廷出廷の数時間前、土壇場でハッキング方法を発見したにもかかわらず、サンバーナーディーノのiPhoneへのハッキング成功の経緯をAppleに明かさないことを決定した。しかし、FBIはAppleに対し、協力的で協力的な姿勢を見せようと、今月、脆弱性エクイティ・プロセスに基づく最初のセキュリティ情報提供を行った。
ロイター通信によると、FBIは4月14日、iOSとMacのソフトウェアに影響を及ぼすセキュリティ上の欠陥についてAppleに通知した。これは、デバイスをハッキングしたいという法執行機関のニーズと、犯罪者がその欠陥を悪用する前に発見された欠陥を修正したいというメーカーのニーズとのバランスを取るプロセスの一環である。
拡大
拡大
閉じる
- アプリ
- iOS
- iPad
- iPhone
- アプリストア
分析会社によると、HTTPSのバグにより1,500のiOSアプリが中間者攻撃に対して脆弱であることが判明
arsTechnicaが指摘したバグのあるコード
分析会社SourceDNA( arsTechnica経由)によると、1,500種類のiOSアプリがサーバーとの安全な接続を確立する方法にバグがあり、中間者攻撃に対して脆弱になっているという。 このバグにより、iPhoneやiPadからデータを傍受する誰かが、HTTPSプロトコルで送信されるログイン情報などの機密情報にアクセスできるようになる。
中間者攻撃は、偽のWi-Fiホットスポットが接続デバイスのデータを傍受することを可能にします。通常、偽のホットスポットは適切なセキュリティ証明書を持っていないため、安全な接続ではこの攻撃は成功しません。しかし、SourceDNAが発見したバグにより、脆弱なアプリは証明書のチェックに失敗します… 拡大拡大閉じる
- 一般的な
- オンライン
- 搭乗券
- デルタ
- セキュリティ上の欠陥
デルタ航空のセキュリティ欠陥により、乗客が他人のオンライン搭乗券にアクセス可能
Hackers of NYの創設者ダニ・グラント氏は、デルタ航空の乗客が他人の搭乗券、さらにはサウスウエスト航空のような別の航空会社の搭乗券にもアクセスできるセキュリティ上の欠陥を発見しました(Engadget経由)。グラント氏は、誰でも自分の搭乗券をダウンロードできるリンクを共有し、URLの数字を1つ変更するだけで、全く別の搭乗券が表示されることに気付きました。拡大拡大閉じる
- iOS
- アメリカ合衆国
- 政府
- 脆弱性
- セキュリティ上の欠陥
米国国土安全保障省がiOSユーザーに「Masque Attack」のセキュリティ欠陥について警告
米国国土安全保障省は木曜日、iOSユーザーに対し、最近発見された「Masque Attack」と呼ばれるセキュリティ脆弱性について警告を発しました。この脆弱性は、ジェイルブレイク済み、未ジェイルブレイクの両方のiPhone、iPad、iPod touchデバイスに影響を及ぼす可能性があります。米国コンピュータ緊急事態対策チームは、この脆弱性の仕組みと、iOSユーザーが自身で防御するための解決策を説明しています。拡大拡大閉じる
- アプリ
- 安全
- アップデート
- 暗号化
- CNN
セキュリティ研究者によると、CNNのiPhoneアプリはiReportersのログイン情報を暗号化せずに公開しているという。
更新: Apple によると、CNN が iPhone と iPad のアプリの両方に修正プログラムを提出し、現在 App Store で公開されているとのことです。
Zscalerのセキュリティ研究者は、CNNのiPhoneアプリにユーザーのログイン情報とパスワードが漏洩するセキュリティ上の欠陥を発見したと主張しています。ユーザーがサインアップしてニュース記事を投稿できるiReport機能を搭載したiPhone版CNNアプリは、Androidアプリとは異なり、登録/ログイン時にSSL暗号化とSSL証明書のピン留めを使用しておらず、ユーザーの個人情報が暗号化されていない状態でアプリ間で送受信されていると報告されています。レポートによると、CNNのiPadアプリは現在iReport機能を搭載していないため、この脆弱性の影響を受けないとのことです。
現在のCNN iPhoneアプリ(バージョン2.30(ビルド4948)で検証済み)には、 iReportアカウントのパスワードが平文(暗号化されていない)で送信されるという重大な脆弱性があります。これは常に問題となるものですが、特に懸念されるのは、ユーザーがCNNに匿名でニュース記事を投稿できる機能に関連していることです。この問題は、ユーザーが iReport アカウントを初めて作成する際と、その後のログイン時に発生します。
ご覧のとおり、どちらの通信も平文(HTTP)で送信されており、パスワード(p@ssword)は他のすべての登録/ログイン情報と同様に暗号化されていません。ここで懸念されるのは、ユーザーと同じネットワーク上の誰でも被害者のパスワードを容易に盗聴し、アカウントにアクセスできる可能性があることです。パスワードを入手すれば、攻撃者はユーザーのiReportアカウントにアクセスし、匿名性を侵害することができます。同じ認証情報を使用して、ユーザーのWebベースのiReportアカウントにアクセスでき、過去の送信内容にもアクセスできる可能性があります。
Zscaler社は、CNNに対し7月15日にこのセキュリティ脆弱性について通知し、調査中であることを確認したと発表しました。iPhone版CNNアプリは本日アップデートされ、リリースノートには「バグ修正」と記載されていますが、このアップデートがZscaler社が詳細に説明したセキュリティ脆弱性を修正するものであったかどうかは、同社はまだ確認していません。
