Lamiyi

セキュリティ研究者がAppleのキーチェーンを解読する方法を発見し、ネイティブメールアプリを含むインストール済みのあらゆるアプリから、気付かれずにパスワードを盗むことが可能になったとThe Registerが報じている。

インディアナ大学の Luyi Xing、Xiaolong Bai、XiaoFeng Wang、Kai Chen は、北京大学の Tongxin Li およびジョージア工科大学の Xiaojing Liao と共同で、「MAC OS X および iOS における不正なアプリ間リソースアクセス」という論文を発表しました。

「最近、AppleのMac OSとiOSに驚くべきセキュリティ脆弱性を発見しました。この脆弱性により、悪意のあるアプリがiCloud、メールアプリ、Google Chromeに保存されているすべてのウェブパスワードなどの機密データに不正アクセスできる可能性があります」とXing氏はThe Registerに語った。「当社の悪意のあるアプリはAppleの審査プロセスを通過し、AppleのMac App StoreとiOS App Storeに公開されました。」

「我々は、さまざまなAppleアプリのパスワードやその他の認証情報を保存するために使用されるキーチェーンサービスと、OS X上のサンドボックスコンテナを完全にクラックしました。また、OS XとiOSのアプリ間通信メカニズムに、Evernote、Facebook、その他の有名アプリから機密データを盗むのに使用できる新たな脆弱性も特定しました。」

このセキュリティ上の欠陥は、2014年10月にAppleに報告されたにもかかわらず、現在もAppleのOSに存在している。テストされた1612個のMacアプリと200個のiOSアプリのうち約88.6%がこの攻撃に対して「完全に無防備」であることが判明した。

注目すべきは、解決の複雑さから、Appleはまだ修正プログラムを公開していない可能性があることです。Appleは研究者に対し、脆弱性の公表前に6ヶ月の猶予を求め、2月には研究論文の公開前に事前コピーを閲覧するよう求めました。

このバグの報告を受け、GoogleのセキュリティチームはChromeブラウザからキーチェーンの統合を削除し、アプリケーションレベルでは解決できない可能性が高いと指摘した。1Passwordを開発するAgileBitsは、このバグの発見から約4か月が経過した現在も、攻撃を阻止したり、マルウェアの「動作を強める」方法を見つけられなかったと述べている。

「我々の攻撃コードはOSレベルの保護を回避するだけでなく、Apple Storeの厳格なアプリ審査プロセスも通過し、多層防御を完全に破ることができる点に留意してください」と研究者らは述べた。

この件に関してAppleからの声明はまだ出ていませんが、今後のソフトウェアアップデートでこの問題が修正されることを期待しています。最新情報については、 Twitter、Facebook、またはRSSでiClarifiedをフォローしてください。

続きを読む