みなさん、こんにちは。週刊アスキーの吉田でございます。さて先週、OS XとiOSに深刻なセキュリティー上の欠陥があるというニュースが出たことを覚えているでしょうか。6人の大学研究者がこの問題を発見してレポートを公開しています。
6人の研究者がまとめたレポートはGoogleドライブで公開されています。 |
実際にやってみたことを示す動画もあります。
この欠陥を突くことで、キーチェーンやSafari、Chrome、「メール」アプリなどで管理しているパスワードを盗み出すことができるそうです。
実際に情報を盗み出すにはアプリ(マルウェア)が必要なのですが、このアプリはOS XやiOSのApp Storeの審査をすり抜けて登録できたそうです。つまり、Appleが公式に配布を認めているアプリの中にマルウェアが潜んでいたわけです。実際には検証のためのアプリで悪用はされていないようですが、コワイですね~。
さすがにAppleも、これだけ深刻なセキュリティー上の欠陥だったので動きは迅速でした。すでに、サーバーサイドのアプリケーションのセキュリティーを改善して、こうした悪意のあるアプリ(マルウェア)を審査段階で排除できるようになったとのこと。以下、公式ステートメントです。
【日本語訳】
Appleは先週、サーバーサイドアプリケーションのセキュリティアップデートを実装しました。このアップデートはアプリケーションのデータを保護し、サンドボックス構成に問題があるアプリケーションをMac App Storeから遮断します。Appleではその他の追加的な修正も進めており、研究者と協力して、彼らの報告書で述べられた主張について調査しています。”
【原文】
Last week we implemented a server-side app security update that secures app data and blocks apps with sandbox configuration issues from the Mac App Store. We have additional fixes in progress and are working with the researchers to investigate the claims in their paper.
iOSアプリなどはサンドボックス化が義務づけられており、Appleが用意した仕組みを経由しないとほかのアプリのデータは引き出せないようになっていますが、どうやらサーバーサイドのアプリでこれをチェックする仕組みが不十分だったようです。サンドボックスというのはそのまま砂場という意味です。通常、砂場は枠で囲まれ領域がきちんと区切られていることから、プログラミングの世界ではそう呼ばれます。
アプリをダウンロードする場合は自己防衛も必要です。今後も審査をすり抜けて配信されるアプリが出てくる可能性は大いにあります。 |
iPhoneの爆発的な普及により、App StoreにはAppleの審査をすり抜けるアプリがときどき登場します。以前にも、ドラッグストアの公式アプリのようなアイコンやUIを備えた偽アプリがありました。今回のAppleの対応でとりあえずは安心ですが、ユーザー側もApp Storeから入手できるからといって無条件に安全だとは思わずに、怪しそうなアプリは疑ってかかりましょうね。特に日本のショップやメーカーのアプリっぽく見えるのに、開発者が個人名でしかも日本人じゃないという場合は、だいたい怪しいですよ。
■関連サイト
Unauthorized Cross-App Resource Access on MAC OS X and iOS(PDF)
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります