スマホ関連の海外ニュースです。
Apple の iOS プラットフォームに少なくとも 76 人気アプリにより、インターセプトし、気づかれることがなくデータを盗むハッカーの攻撃に対して脆弱です。 アプリの意味が正しく構成されていないネットワーク コードから脆弱性の茎は、暗号化された接続を確立するデジタル セキュリティで保護されたソケット レイヤーまたはトランスポート層セキュリティ (SSL および TLS) 証明書を受け入れます。 デバイスの wi-fi 範囲内の攻撃者は、代わりに独自の証明書をインストールするアプリを騙そうとしてネットワーク設定ミスを利用できます。 そこから攻撃者がネットワーク上の中央の位置で男を取得インターセプトし、アプリによって送受信されているデータを取得します。 この脆弱性はユーザーの数百万に影響を与える可能性情報セキュリティ専門家と iOS セキュリティ プラットフォーム事業者須藤セキュリティ グループは Strafach の最高経営責任者は、影響を受けるアプリケーションは、18 回以上ダウンロードされていたと述べた。 Strafach 分類主張 76 33 低リスク、与えられたデータの傍受に対して脆弱として中間の攻撃を受けやすいアプリは部分的に敏感だっただけ。 このリストには、彼にデバイスのデータをリークすることができますよると、huawei 社 HiLink ・ Uconnect のアクセスは、ユーザー名とパスワードをリークすることができます好きなものが含まれています。 さらに 40 男で中攻撃の中または高リスクでアプリで Strafach のチームによって分類されました。 これらのアプリケーションは 2 末まで無名または 3 ヵ月になります開発者の問題を修正する時間を与えるための責任ある開示期間。 アップルは、開発者が新しいアプリケーション トランスポート セキュリティ (ATS) 機能を使用する HTTPS と自分のアプリのデータ通信をセキュリティで保護するをプッシュしようとしています。 ATS 必須になります開発者、今年が Strafach 言った機能がこの場合解決しない: 攻撃者の証明書は有効であると思われるために、ATS によってブロックされません。 Strafach があったと述べた問題を解決する小さなリンゴが出来る。ATS により、証明書の妥当性を判断するためのアプリこれをオーバーライドすることになるいくつかのアプリ利用証明書は、接続に固定できないよう安全性の低い。 「責任は自分のアプリは脆弱ではないことを確認するアプリケーション開発者自身にかかっている、」と彼は言った。 Strafach は、ユーザーのデバイスが wi-fi に接続されているときは、大きかったの攻撃の危険性を指摘しました。 「携帯電話遮断は難しく、高価なハードウェア必要とするはるかに顕著である (米国)、の内でかなり違法だと」彼は言った。 彼は、エンドユーザーのみ携帯電話接続中にパーソナル ・ バンキングのような機密性の高い操作を実行するをお勧めします。
続きを読む…
Dozens of iOS apps open to man-in-the-middle attack
At least 76 popular apps on Apple’s iOS platform are vulnerable to attacks that could allow hackers to intercept and steal data without being noticed. The vulnerability stems from misconfigured networking code that means the app will accept any digital secure sockets layer/transport layer security (SSL/TLS) certificate to establish an encrypted connection. Attackers within wi-fi range of the device can exploit the network misconfiguration to trick apps to instead install their own certificate.
Read more…
