スマホ関連の海外ニュースです。
モバイル アプリケーションのセキュリティを評価するためのツールを開発しているとき須藤セキュリティ社の研究者は予期しない何かを発見します。76 – アップルの iOS App Store で人気のあるアプリケーションは中間の攻撃によってユーザー情報が傍受されることそのような方法でのバックエンド サービスとの通信の暗号化を実装していた彼らは、発見します。アプリケーションは、暗号化してインターネット上を通過を調べて、そのトランスポート層セキュリティをできるように、プロキシから送信された偽造証明書にだまされる可能性があります。 発見は当初、Sudo の verify.ly、Apple の App Store からのアプリケーションのバイナリの一括静的分析を実行するサービスによって行われたバルク分析の結果でした。Strafach、須藤の大統領を確認ソケット レイヤーのセキュリティで保護された証明書で構成されているネットワークのプロキシを使用してシステムによって発見されたアプリケーションが演習では、脆弱であります。 今日公開されて彼の調査結果についての記事で Strafach を書いた: アルスが「Strafach によって発見されたいくつかアプリケーション影響を受ける独立して検証します。これらの種類の脆弱性は何も新しいです。数千のアプリケーションを持って、iOS と Android の両方の攻撃に対して脆弱になる TLS を引き起こしたバグを設立。しかし、固持するアップルがセキュリティ強化に向けて開発者をプッシュしようとしても、事実は控えめに、当惑-金融を公開できるアプリケーションまたはユーザー資格情報と共に健康データを中心に。 各感度で様々 なアプリケーションの脆弱性による公開データ。半分弱の-アプリケーションの 33-データのほとんどは「部分的に敏感な解析データ」としてリスクは比較的低い、Strafach は言った。これらのアプリには、サード パーティ製「アップローダー」アプリ (これは Snapchat ユーザー名とパスワードを公開) Snapchat と副ニュース アプリでは、他の中の数にはが含まれています。 24 の場合、公開されたデータには、ログイン資格情報またはそれらのアカウントが機密性の高いデータに関連付けられていないが、アプリケーションに関連付けられているアカウントをハイジャックする、攻撃者のセッション トークンが含まれています。しかし、残りの 19 のアプリケーションは、機密性の高いデータが攻撃にさらさを残しました。これらのケースで Strafach「確認された金融迎撃能力または医療サービス ログイン資格情報および/またはログインしているユーザーのセッション認証トークン。」 これらのアプリの名前は、現在公開されていません。「現在、このリストは感受性ための限られた関係者に利用可能な」Strafach を書いた。「マイター連絡をしている、データの傍受と思われる中リスクまたは高リスクの影響を受ける iOS アプリケーションの CVE Id リストに後でフォロー アップします。」 最近まで、多くのモバイル アプリケーションは多くのバック エンド インターフェイスに送信されるデータを保護していません。我々 は 2014 年のモバイル アプリケーションの受動的な監視を見て、我々 は明確にセッション トークンと他の機密データを渡していた多くのアプリケーションを発見しました。接続を保護する移動しているいくつかの開発者は、TLS 証明書の悪い検証が問題を続けています。 でもセキュリティにフォーカスしたアプリケーションは、TLS の検証、2 要素認証プロバイダーのデュオを含むとのトラブルに実行しています。2015 年にデュオは TLS の脆弱性オープン残っていた諮問警告その 1 つバージョンの iOS アプリケーション セキュリティを発行しました。多くのセキュリティで保護されたアプリケーションでは、TLS セッションの初めに証明書の手ふれの傍受を回避することができますアプリケーションにハードコーディング「固定」の証明書を使用して問題を回避します。しかし、それは他のアプリケーションのための実用的ではないかもしれません。 アップルが iOS 開発者はアプリケーション トランスポート セキュリティ (ATS) を使用して App Store を通じて販売アプリケーションによって送信されるデータの保護を推進しています。12 月には、アップルは、ATS を実装するアプリケーション開発者の期限を延長しました。ATS 対 1.2 TLS を使用し、「前方秘密」だけでなくより強力な暗号化 (AES および SHA 2) を必要とする証明書が侵害された場合過去の取引を保護します。しかし、ATS は、アプリケーションが正しく証明書を確認を保証しません — 開発者がまず第一に TLS を使用することをちょうど。 ATS は透過性の証明書の使用を許可して、国民確認された証明書の「ログ」.Google はサービスを推進している、2017 年 10 月によって信頼済みの web サイトの検証を強制する透明性証明書を使用する予定です。しかし、すべてではない証明機関 (ましてサイトとアプリの演算子) がアプリ開発者による採用はまだ始まったばかりで、CT の実装のサインオフします。アップルが今証明書の透明性を適用する場合、それは、安全性の低いになるいくつかのアプリケーション可能性があります実際に Strafach は言った。開発者「利用証明書接続に固定できないだろうし、社内 PKI を使用して企業内のイントラネット接続に必要となる信頼のそれ以外の場合、信頼されていない証明書ないことができる」 エンドユーザー向けの太陽の 1 つの線は、(状態のアクターによって以外) 中間の攻撃は信頼されていない Wi-Fi 接続経由でインターネットに接続されている場合にのみ可能です。中間の攻撃が可能性が高いは、携帯ブロード バンドまたは信頼できるワイヤレス ネットワークを使用してを接続している場合、アルスとして悪意のあるネットワークに接続するようにデバイスが過去にラボで実証が欺くのために Wi-Fi ネットワークの悪用をせめることができます。
続きを読む…
Dozens of popular iOS apps vulnerable to intercept of TLS-protected data
While developing a tool for evaluating mobile application security, researchers at Sudo Security Group Inc. found out something unexpected. Seventy-six popular applications in Apple’s iOS App Store, they discovered, had implemented encrypted communications with their back-end services in such a way that user information could be intercepted by a man-in-the-middle attack. The applications could be fooled by a forged certificate sent back by a proxy, allowing their Transport Layer Security to be unencrypted and examined as it is passed over the Internet.
Read more…
