「Zeit Online」の報道によると、ハンブルクのセキュリティ研究者が、Apple iOS オペレーティング システムの多くの人気アプリにセキュリティ ホールを発見しました。データの暗号化が正しく実装されていないため、特定の条件下では、プログラムで各アプリ サービスのユーザーのログイン データが傍受される可能性があります。
データは暗号化されていません
ハンブルクの IT セキュリティ専門家である Thomas Jansen 氏の調査によると、最も人気のある無料 iOS アプリ 200 個のうち 111 個にこのギャップがありました。ユーザー名やパスワードなどの機密データの送信は、暗号化された送信では保護されていないか、不十分にしか保護されていません。 Jansen は iPhone と iPad のアプリのみをテストし、他のモバイル システムではテストしませんでした。ただし、専門家は、多くの Android アプリにも同様のギャップがあると想定しています。
Jansen 氏が説明した攻撃には、ある程度の労力が必要です。攻撃者は少なくとも、アプリとサービス プロバイダー間の通信を監視できなければなりません。攻撃者が自分自身をネットワークの一部にしてデータ トラフィックをリダイレクトした場合にも攻撃が可能になります。これは、たとえば公共のホットスポットで可能です。
Appleが助成金を猶予
2016 年の夏以来、Apple はアプリ開発者に対し、安全な HTTPS プロトコルを使用してユーザー データを送信することを義務付けています。この要件を実装する際、iPhone メーカーは 2016 年 12 月に開発者に実装の延期を通知しましたが、これは現在も適用されています。
Chaos Computer Club (CCC) の講演者の 1 人である Linus Neumann 氏は、例として 111 個の影響を受けるアプリのうちの 1 つに関するセキュリティ研究者の Jansen 氏の分析を再現し、確認しました。 「現在、アクセスデータを平文、つまり暗号化されていない状態で送信することには言い訳がありません」とノイマン「ツァイト・オンライン」は述べた。
アップルは報道についてコメントを控えた。