スマホ関連の海外ニュースです。
ユーザーのデータを暗号化することになっている iOS アプリの数十はセキュリティ研究者によるとそれを適切にはしません。 Strafach、CEO の須藤セキュリティ グループは、保護されたデータを傍受することができます攻撃に脆弱である 76 の iOS アプリを見つけたと述べた。 Strafach のアプリの開発者がネットワーク関連コードを誤ると誤って無効なトランスポート層セキュリティ (TLS) 証明書を受け付けますので、月曜日のブログで主張しています。 TLS を使用して、インターネット接続を介してアプリの通信をセキュリティで保護します。それがなければ、ハッカーはネットワーク経由でスパイに本質的に盗聴することがどのようなデータにアプリを送信するログイン情報など。 「この種攻撃は、それが使用中デバイスの Wi-Fi の範囲内第三者で行うことが”Strafach と述べた。「これがあるどこでも公共の場でまたはあなたの家の内であっても攻撃者が近い範囲内に得ることができる場合 Strafach は、76 の脆弱性を発見したと彼の会社が開発したセキュリティでスキャンしアプリ サービス、verify.ly は、彼を進めています。データ傍受の可能性が高いと「数百のアプリケーション”をフラグが設定します。 彼は今のところ確認したがこれらの 76 のアプリは、この脆弱性を所有しています。彼でしたので iOS 10 を実行して、接続に無効な TLS 証明書を挿入するプロキシを使用して iPhone で実行すること。 Strafach は、ログイン情報と認証トークンをさらすことを危険にさらしたので、アプリの 43 が高または中規模のリスクであることを宣言しました。それらのいくつかは「銀行、医療プロバイダー、および他の機密性の高いアプリケーションの開発者」と彼は言った。 彼がパッチ問題に彼らの時間を与えるため、自分の名前を開示していません。 残り 33 アプリは、彼らが e メール アドレスなどのだけ部分的に機密データを明らかにしたので低リスクとみなされました。彼らは、無料のメッセージング サービス ooVoo、Snapchat、ストリーミング サービスは、他の多くの間であまり知られていない音楽動画の投稿者。 すべて、76 のアプリは、アプリ市場トラッカー Apptopia によると、1800 万ダウンロードを持っている Strafach は言った。 アプリ開発者がこの問題を解決することがありますが、それはのみ、コードを数行変更することを含む Strafach、開発者に連絡しようとしている人を言います。 彼はブログの記事で開発者のためのいくつかの警告を含まれています。 “ネットワークに関連するコードを挿入する場合非常に注意してアプリケーションの動作を変更する、”と彼は書いた。「このような多くの問題アプリケーション開発者は完全に彼らはウェブから借りたコード理解から生じる」 影響を受けるアプリケーションのユーザーは、公共の場所で Wi-fi オフにして守る、Strafach は言います。どんなハッカーにも高価で、違法装置を使用しない限り、盗聴も困難になり、インターネットに携帯電話の接続を使用する携帯電話が強制的 Strafach は言った。
続きを読む…
Dozens of iOS apps fail to secure users’ data, researcher says
Dozens of iOS apps that are supposed to be encrypting their users’ data don’t do it properly, according to a security researcher. Will Strafach, CEO of Sudo Security Group, said he found 76 iOS apps that are vulnerable to an attack that can intercept protected data. The developers of the apps have accidentally misconfigured the networking-related code so it will accept an invalid Transport Layer Security (TLS) certificate, Strafach claimed in a Monday blog post. TLS is used to secure an app’s communication over an internet connection.
Read more…
