Sudo Security Group、iOSアプリに暗号化通信傍受の脆弱性を確認
Sudo Security GroupはWebベースのモバイルアプリ分析サービス「verify.ly」の開発を行った際に、モバイルアプリにセキュリティ問題を確認したとして報告を行った。Apple App Storeで配信されているアプリケーションのバイナリコードの自動スキャンにより、大量のセキュリティ問題を確認したという。
同社によると、verify.lyの開発の際にApple App Storeで配信されているアプリケーションのバイナリコードを自動スキャンし、iOS 10搭載の端末で不正なプロキシで無効なTLS証明書を挿入した接続によるテストを行なった。その結果、76の人気iOSアプリに暗号化データ送受信プロトコルのTLS接続にて保護されているデータが、中間者攻撃により傍受や改ざんされる脆弱性が存在することが確認された。この脆弱性の存在するアプリが既に1800万件以上ダウンロードされていると推測されている。
76個のアプリのうち、33個のiOSアプリに関しては機密データは部分的なためリスクは低いとしているが、24個のアプリはログイン情報やセッション認証トークンの傍受が可能なリスクレベルmedium、19個のアプリに関しては金融や医療サービスのログイン情報や認証トークンの傍受が可能なハイリスクとなっている。
この脆弱性はWi-Fi接続により傍受されるリスクがあるため、公共の場で機密情報をやり取りするアプリを使用する際にはWi-Fiを無効にするよう呼び掛けている。
