06月19日
どうすればいい?Mac/iPhone/iPadに未修正の脆弱性が多数発覚している
appleが報告を受けてから6ヶ月間以上も対応できていない深刻な脆弱性があることがわかりました><
1つ目は、かなり厄介です。脆弱性の2つの深刻な影響
- OSX keychainに保存されている情報が盗み取られる
iCloudのパスワード、Google Chromeに保存されているパスワードが盗み取られる
- 厳格審査のApp Storeに悪意のあるアプリが存在する可能性
悪質なアプリが、他のアプリの重要データを盗めてしまう。
最新のOSX Yosemite 10.10.3でも、深刻な脆弱性は直っていません。
safari(iPhone/Mac)でよく使う機能に、ユーザID、パスワードの自動支援機能があります。
ユーザID、パスワードは、iOS、OSXに標準搭載されるKeychainサービスが管理しています。
iPhoneとMacで同期してくれるので、
iPhone/Macどちらでもサイトを開くと勝手にid/passwordを入力してくれる便利なサービスです。
mac野郎なのかは、銀行系サイトなどでもキーチェーンを有効利用しています><
これは参りました orz
最悪のシナリオとしては、
厳格な審査で有名だったApp Storeのセキュリティチェックを迂回されて、悪意のあるコードがインストールされてしまう
悪意のあるコードによって、サンドボックスの脆弱性を狙って、アプリ固有に格納してある重要な情報が盗まれる、
悪意のあるコードによって、キーチェーンに格納されている重要なID/パスワードが盗まれる、
さらに漏れたID/パスワードの漏洩はかなり深刻なダメージを受けます。
まさに、だだ漏れ状態です。
Mac/iPhone/iPad利用者はいったい、どうすればいいんでしょうか・・
いま、わかっていることは、6ヶ月間Appleは黙り込んでいる。
ということだけです。
「Mac OS XおよびiOSにおける未許可のクロスアプリリソースアクセス」と研究者は命名しています。
OSX/iOSどちらにしろ、きっかけは悪意のあるコードが埋め込まれたアプリ、という見方ができます。
かなりコアな部分での脆弱性と思います、
appleからセキュリティリリースがリリースされるまでの間にできることは限られます。
・有名なアプリであっても、新たにアプリをインストールしない
・アップデートによる悪意のあるコード流入を防ぐため、アプリのアップデートをしばらく見送る
・OSXでは野良アプリをインストールしない、アップデートしない
・できれば避けたい確実な案・・・便利さを捨てて、icloudを使わない、キーチェーンに記憶させない
これでもダメかもしれません><
攻撃者は想像もつかない方法で、脆弱性を狙ってくるかもしれません、
仮に漏れてしまうとかなり深刻なダメージを受けます。
iPhoneを使わない、Macを使わないという選択ができる方は、しばらく利用を避けるのが安全です。
mac野郎なのかは、どちらもメインで利用中なので・・・
これは参りました・・・早急にappleからの正式なコメント、セキュリティリリースを強く望みます
=>週刊アスキーに記事が出ていました。
サーバーサイド側の修正で一次対応済みになったようです。
6/22 OS XとiOSの深刻な脆弱性問題にAppleが素早く対応!問題アプリをApp Storeから排除
http://weekly.ascii.jp/elem/000/000/348/348817/
OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告
http://www.itmedia.co.jp/news/articles/1506/18/news053.html
研究論文 Apple CORED: Boffins reveal password-killer 0-days for iOS and OS X - The Register
http://www.theregister.co.uk/2015/06/17/apple_hosed_boffins_drop_0day_mac_ios_research_blitzkrieg/
iPhone/iPadの標準メールでiCloudのログイン画面が現れたら「Cancel」しよう
こちらも半年放置の脆弱性です><
iPhone/iPadからiCloudのパスワードを盗める重大な脆弱性が発覚、Appleは脆弱性を約半年間放置した模様
http://gigazine.net/news/20150612-ios-mail-bug/
標準アプリのメールでiCloudのパスワードが漏れる危険性が指摘されています。
メールに埋め込まれたスクリプト?で偽iCloudのログイン画面を表示可能で、
いつものやつかぁなどと騙されてID、パスワードを入力すると相手に漏洩してしまうというものです。
こちらは、怪しいメールは開かない、
iCloudログイン画面が出てきたら、「Cancel」、
でなんとか回避できそうです。
コメントシステムを利用したくない方はお問い合わせからお願いします。
2013.8.19 DISQUS(外部コメントサービス)の利用を開始しました。
Facebook, google, Twitter等のアカウントで投稿可能です。