reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 Googleの技術者Elie Bursztein氏が3月8日に公開したブログによると、先週(2/24〜3/2のどこか)、ついにAppleがiOSアプリ「App Store」、「iBooks」と「Apple Storeサイト」間の「すべての」通信をHTTPS化したそうです。

Apple finally turns HTTPS on for the App Store, fixing a lot of vulnerabilities
app-store-1 ...
Last week Apple finally issued a fix for it and turned on HTTPS for the App Store. I am really happy that my spare-time work pushed Apple to finally enabled HTTPS to protect users


 「えっ?今まで全部HTTPSじゃなかったんかいっ」と思わず突っ込みたくなりますが、どうやらそのようでして、Elie Bursztein氏よると2012年7月にはそれらの脆弱性を発見、Appleには伝えていたそうです。
 
 さすがにログイン時はHTTPSを使用していたそうですが、アプリ情報ページの表示やインストール済みアプリの一覧表示時には暗号化していないHTTPで通信していたそうです。

 「ログイン時にHTTPSが使われていたならパスワードは盗まれないから大丈夫じゃない?」
 
 そう思った方もいることでしょう。しかし、話はそう単純ではありません。
 
 他のページでHTTPSが使われていないことにより、ユーザを騙してパスワードを盗んだり、有料のアプリを買おうとしているユーザに攻撃者が作った別の有料アプリを買わせたり、インストール済みアプリの一覧を盗んだりすることができるのです。

 上記攻撃は、Elie Bursztein氏のブログ記事に記載されていますが、本ブログでもちょっとシナリオを考えてみましょう。
 

ユーザを騙してパスワードを盗む


 まず、前提として攻撃者がターゲットの利用するネットワークを傍受できる状態であることが必要です。
 
 これは、偽のWi-Fiスポットを作り、そこにターゲットを繋がせることなどで可能となります。
 
 iPadやiPad miniを使っている人をよく見かけるスタバ辺りがねらわれやすそうですね。ここでは無料W-Fiサービスを暗号化なしに提供しているので、このアクセスポイントを偽装する悪い奴がいてもおかしくなさそうです。

ノマドっぽい人が歓喜して、クラッカーっぽい人がもっと歓喜するスタバの無料Wi-Fiサービス : I believe in technology
とまあ、ちとおふざけ気味に書いてみましたが、いかにもノマドでかっこいいスタバのWi-Fiサービスって、その辺の野良Wi-Fiと大して変わらないくらい危険なんだってことをいいたいだけです。


 以下は、攻撃者の立場でのシナリオです。

 ノマドを装いスタバを訪れます。長くかかるかもしれないので、ペンティあたりのでかいサイズのドリンクを頼んで、席を探します。

 これみよがしにMacbook Airを広げ、脇にはiPadとiPad mini、さらにはiPhoneを並べている客がいたので、その隣に座ります。
 
 PCを起動し、偽のアクセスポイントと無線LANに対応したパケットキャプチャーツールを起動し、ターゲットがiOS製品を使うのを待ちます。
 
 きたきた。Macbook Airでの作業が終わったのか、iPadで偽のアクセスポイントにつなぎにきました。
 
 しばし流れるパケットを見ていると、ターゲットがApp Storeにアクセスしてきました。
  
 どうやら、ターゲットがアプリのアップデートのため、「App Store」アプリを起動したようです。ここで、通信に割り込み、偽のログインプロンプトを表示させ、隣のターゲットの様子を見ます。
 
 通常、この時点ではログインのプロンプトは表示されないのですが、どうやらターゲットはそんなことには気づいていないようで、ソフトウェアキーボードを起動し、なにやら入れています。
 
 PC上のキャプチャーデータを確認すると、確かに暗号化されていないアカウントとパスワードがキャプチャさてていました。

 しばし、残っているペンティサイズのラテを楽しみ、ゆっくり店を出ます。

 とまあ、こんな感じ。

 このシナリオは、インストール済みアプリの一覧表示時にHTTPが使われていることを悪用して偽のログインプロンプトを表示させ、ターゲットが入力したアカウントとパスワードを盗聴するというものです。

 Elie Bursztein氏がパスワードを盗聴するシーンの動画を公開しているのでそれも貼っておきますね。




 Elie Bursztein氏の記事には、「先週、Appleが修正した」とありますが、Appleのサイトを見ると、1月23日だったようです。
 
Apple Web Server notifications



2013-01-23 itunes.apple.com

Active content is now served over HTTPS by default. We would like to acknowledge Bernhard 'Bruhns' Brehm of Recurity Labs, Elie Bursztein of Google, and Rahul Iyer of Bejoi LLC for reporting this issue.



 とはいえ、長い間この状態が放置されていたことを考えると、それまでの間に被害が出ていた可能性も否定できません。サイズの大きなアプリをダウンロードするのに、Wi-Fiスポットを使っている人は結構いそうです。
 
 今時、秘密情報をやり取りする可能性のあるWebサーバとの通信において、SSLを使わないというのは考えられません。また、このような状態であったことを積極的にアナウンスしないAppleのやり方は、いつものこととはいえ、腹立たしさを感じます。

 1月23日以前に、私が書いたシナリオのターゲットのように、自分が管理していないWi-FiスポットなどでApp Storeを利用した覚えがあるようなら、念のためパスワードを変更することをおすすめします。

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。