【不具合】Androidアプリの多くに深刻なSSL脆弱性――中間者攻撃のおそれ
http://www.computerworld.jp/topics/563/205247
Androidアプリのオンライン・ストア「Google Play」で配布されている無料アプリの多くが、中間者攻撃(MITM:Man-In-The-Middle attack)
に対して脆弱であることが、ドイツの大学共同研究チームにより明らかになった。プライバシー情報やオンライン・バンキングのログイン情報
などに深刻な脅威を与えるおそれがあるという。
ハノーバー大学とマールブルク大学の研究者チームは、Google Playストアで人気の高い1万3,500本の無料アプリについて、SSL/TLSが
安全に実装されているかどうかを調査した。その結果、1,074本のアプリが「認証時にあらゆる証明書、またはあらゆるホスト名を受け入れて
しまう(誤った)SSL処理のコードが含まれているため、中間者攻撃に対して潜在的な脆弱性を持っている」という。
中間者攻撃とは、ユーザーと正当なサイトの間に攻撃者(偽サイト)が割り込み、ユーザーのパスワードや個人情報といった通信内容を盗
み見るというもの。本来、SSL/TLSでは電子証明書によって接続先が正当なサイトであることを確認したうえで暗号化通信を行うが、今回見
つかった脆弱性はその確認が不十分であり、偽サイトの証明書でも信用してしまう。
さらに研究者チームは、Google Playサイトの人気上位100位までの無料アプリを手作業で精査し、脆弱性がないかどうかを調べた。その結
果、41本がSSLの脆弱性によって中間者攻撃が可能な状態だったという。
こうした脆弱性のあるアプリは、攻撃者が偽のサイトを用意することで、そのサイトに対して個人情報やアカウント情報を送信してしまうおそ
れがある。研究者チームが上述の41本のアプリをテストした結果、American ExpressやPayPal、オンライン・バンキング、Facebook、Twitter、
Google、Yahoo!、「IBM Sametime」などのアカウント情報(パスワード)を不正取得することができたという。
Androidアプリのオンライン・ストア「Google Play」で配布されている無料アプリの多くが、中間者攻撃(MITM:Man-In-The-Middle attack)
に対して脆弱であることが、ドイツの大学共同研究チームにより明らかになった。プライバシー情報やオンライン・バンキングのログイン情報
などに深刻な脅威を与えるおそれがあるという。
ハノーバー大学とマールブルク大学の研究者チームは、Google Playストアで人気の高い1万3,500本の無料アプリについて、SSL/TLSが
安全に実装されているかどうかを調査した。その結果、1,074本のアプリが「認証時にあらゆる証明書、またはあらゆるホスト名を受け入れて
しまう(誤った)SSL処理のコードが含まれているため、中間者攻撃に対して潜在的な脆弱性を持っている」という。
中間者攻撃とは、ユーザーと正当なサイトの間に攻撃者(偽サイト)が割り込み、ユーザーのパスワードや個人情報といった通信内容を盗
み見るというもの。本来、SSL/TLSでは電子証明書によって接続先が正当なサイトであることを確認したうえで暗号化通信を行うが、今回見
つかった脆弱性はその確認が不十分であり、偽サイトの証明書でも信用してしまう。
さらに研究者チームは、Google Playサイトの人気上位100位までの無料アプリを手作業で精査し、脆弱性がないかどうかを調べた。その結
果、41本がSSLの脆弱性によって中間者攻撃が可能な状態だったという。
こうした脆弱性のあるアプリは、攻撃者が偽のサイトを用意することで、そのサイトに対して個人情報やアカウント情報を送信してしまうおそ
れがある。研究者チームが上述の41本のアプリをテストした結果、American ExpressやPayPal、オンライン・バンキング、Facebook、Twitter、
Google、Yahoo!、「IBM Sametime」などのアカウント情報(パスワード)を不正取得することができたという。
|
|
|
【恥】【チンカス】【林檎教】Apple Safari、いつも通り脆弱性放置。JVNが使用中止喚起【笑い者】
http://kohada.2ch.net/test/read.cgi/pcnews/1350996745/
http://kohada.2ch.net/test/read.cgi/pcnews/1350996745/