米Appleの「iOS 8」に新たな脆弱性が見つかったとして、イスラエルのモバイルセキュリティ企業Skycureが米サンフランシスコで開催中のRSA Conferenceで発表し、4月22日付のブログに概略を公表した。悪用された場合、不正なWi-Fiネットワークを使ってサービス妨害(DoS)攻撃を仕掛けられる恐れがあるとしている。
【その他の画像】
Skycureのブログによると、ネットワークベース攻撃のデモのために新しく購入したルータを特定の設定にしてデバイスを接続したところ、iOSアプリがクラッシュする現象が発生した。
詳しく調べた結果、SSL証明書の解析に起因する脆弱性があり、細工を施したSSL証明書を使って意図的にアプリをクラッシュさせることができてしまうことが判明。同社はネットワークインタフェース経由でこの問題を悪用するスクリプトを作成し、FacebookやGoogle、Appleなどのアプリをクラッシュさせるデモ映像も公開している。
SSLはAppleのApp Storeで提供されているほとんどのアプリに採用されていることから、攻撃対象領域は極めて広く、組織的なDoS攻撃を仕掛けられれば深刻な影響が出る恐れもあるとSkycureは解説する。
さらに、この脆弱性の影響でiOSもクラッシュする恐れがあり、特定の状況下ではデバイスがリブートサイクルを繰り返して使い物にならなくなる現象も確認されたという。例えば、人が多く集まる場所で小型装置を使って攻撃を仕掛け、圏内にあるiOSデバイスを不正なネットワークに接続させてクラッシュさせ、使い物にならなくさせる手口も想定できるとしている。
同社はこの問題をAppleに報告し、解決に向け協力しているという。最新版のiOS 8.3に更新すれば、脆弱性の一部は解消されるとしている。
http://headlines.yahoo.co.jp/hl?a=20150423-00000013-zdn_ep-sci
0 件のコメント:
コメントを投稿