iOS

Appleの怠慢が浮き彫り?個人情報に関する重要なバグを2年半も放置していた模様。

無題

えっ…私の情報ダダ漏れ?

昨日配信されたiOS9.2.1、そのバグフィックスの中に「iOS端末のSafariで蓄積したクッキーに外部からアクセスできる脆弱性について修正」というものがありました。

これ、詳しくないとなんのこっちゃって感じなんですが、かなりヤバい状態だったってことなんです。

 

セキュリティ企業のSkycureによると、iOSでWi-Fiネットワークの初回接続時に使われるアプリ内ブラウザとSafariアプリ間でクッキーを共有する蓄積方法に問題があって、Wi-Fi接続画面の「利用規約に同意する」や「認証する」といった接続画面を悪用すれば端末に保存されている全てのHTTPクッキーを外部から盗み取ることができる状態になっていたとのこと。

 

同社の研究者の話では
・HTTPクッキーを盗み取り、ユーザーになりすまして各種サイトにアクセスする
・セッション固定攻撃を行い、ユーザーが各種サイトにアクセスした際にユーザー自身のアカウントではなく攻撃者のアカウントで強制的にログインする
・DNS偽装を行い、ユーザーがSafariを使ってインターネットに接続する度に、攻撃者が仕込んだ悪意のあるJavaScriptが実行されるようになる

が可能な状態であったといいます。平たく言えば他人に端末を乗っ取られる状態だったということですね。

 

で、大きな問題なのが

Skycureの研究者はこのバグを2013年の6月には把握してAppleに報告していたという事実です。

iOS9.2.1のリリースが2016年1月後半ですからおよそ1年半もの間、Appleはユーザーの個人情報が危機に晒されていることを知りながら放置していた、と。

一昔前はiPhoneはAndroidよりもセキュリティが堅いなんていうのが定説でしたが今やそれもどこに行ってしまったのやら。

 

個人情報を保護したいという賢明なユーザーは特別な事情がない限りはiOS9.2.1にアップデートしたほうが良いかもしれません。

<文:研究員A>

-iOS

関連記事