18 Bloom: Saving Files in .txt Format with Encoding UTF-8
Verify.lyは、iOSアプリのバイナリコードをスキャンしてアプリに関するセキュリティ問題を検出するサービスで、合計1800万ダウンロードを含む76のiOSアプリがTLSで保護されたデータのサイレントインターセプトに対して保護されていないことを明らかにしました。
テスト中に、いくつかのVPNアプリケーション、ブラウザアプリケーション、および人気のあるVice Newsアプリケーションを含む76のアプリケーションすべてが、ユーザーデータを危険にさらすサイレントな中間者攻撃に対して脆弱であることが判明しました。
セキュリティ侵害により、攻撃者はユーザーデータを簡単に傍受して操作することが可能になります。
「当社のシステムは、データの傍受に対して脆弱性が高い可能性があるとして、何百ものアプリケーションにフラグを付けました。 Verify.lyの創設者であるWill Strafach氏は、次のように述べています。iOS 10を実行しているライブiPhoneと、テストに使用する無効なTLS証明書を接続に挿入する「悪質な」プロキシを使用して完全に確認できました。
レポートによると、これらの脆弱なiOSアプリケーションのうち33個が低リスクグループにあり、24個が中リスクグループにあり、19個が高リスクグループに属していました。
中小リスクのアプリグループは有害なユーザーの機密データの傍受に対して脆弱ではありませんでしたが、危険性の高いアプリのうち19件は金融または医療サービスのログイン資格情報の中継の脆弱性が高いと見なされていました。
そのような攻撃では、攻撃者と同じインターネット接続(通常はパブリックWi-Fi接続)にデバイスを接続する必要があるとほとんどの人が主張していますが、それは完全に真実ではありません。
「問題の真実は、この種の攻撃は、デバイスが使用されている間、そのデバイスのWi-Fi範囲内の任意の関係者によって行われる可能性があるということです。 これは公の場のどこにでも、あるいは攻撃者が近距離に入ることができればあなたの家の中にさえある可能性があります。」Strafachは付け加えます。
iOSアプリでこの種の脆弱性が発見されたのは今回が初めてではありません。 いくつか挙げると、Kaspersky Safe Browser、Experian、Dell SecureWorksなどのiOSアプリにも同様の脆弱性の問題がありました。「このような多くの問題は、Webから借用したコードを完全に理解していないアプリケーション開発者が原因で発生しています」と彼は付け加えました。
携帯インターネット接続はハッキングが比較的困難であるため、機密情報を安全に保つには、Wi-Fiをオフにして、銀行口座にログインして取引を実行したり、残高を確認しながら携帯データを使用することをお勧めします。