reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 先日、Appleから予告なしに公開されたiOSの最新アップデートである「iOS 7.0.6」、「iOS 6.1.6」は同OSのSSL処理における欠陥を修正する重要なアップデートでした。

実は深刻なバグだった! 未適用者はすぐにiOS 7.0.6にアップデートを! でなきゃネットに繋ぐな!! : I believe in technology
これはかなり深刻な脆弱性です。「iOS 7.0.6」にアップデートしていない方は早急にアップデートしましょう。もし、アップデート出来ない場合は、アップデートするまでインターネットの利用は避ける必要があります。


 しかし、iOSの抱えるセキュリティ問題はこれだけではありません。
 
 セキュリティベンダー「FireEye」がiOSには別のセキュリティ上の欠陥があると同社のブログで主張しています。

Background Monitoring on Non-Jailbroken iOS 7 Devices — and a Mitigation | FireEye Blog


 このブログエントリによると、バックグラウンドで監視するアプリを動作させる脆弱性を発見、さらに、アップルによるアプリレビュープロセスをバイパスして、ジェイルブレイクしていないiOS 7搭載機器にインストールする方法を見つけたそうです。
 
 同ブログエントリでは、デモ用に作成した監視アプリから送信されたキーストロークのイメージを載せています。
 
 
(出典:Background Monitoring on Non-Jailbroken iOS 7 Devices — and a Mitigation | FireEye Blog
 
 
 この監視アプリはバックグラウンドで動作し、すべてのスクリーンのタッチ、ホームボタン、ボリューム・ボタン、TouchID操作を記録し、リモートのサーバーに送信することができるとしています。
 
 FireEyeはこの脆弱性が「iOS 7.0.4」、「7.0.5」、「7.0.6」、「6.1.x」に存在することを確認したとしています。
 
 この脆弱性を悪用すれば、攻撃者はフィッシングなどでユーザを誘導し、悪意のある監視アプリをインストールさせることができます。

 
 一方で、「iOSアプリの91%が危険な挙動をする」とするレポートが公開されており、従来、安全とされていたApp Store公開アプリでも完全に安全とは言えないのではないかという懸念が指摘されています。

モバイルアプリの大多数に「危険な挙動」――Appthority調査 - ITmedia エンタープライズ
 モバイルアプリ向けのリスク管理サービスを手掛ける米Appthorityは、このほど公開した2014年冬季版のアプリ評判調査報告書で、iOSとAndroid向けアプリの大多数に位置情報追跡などの「危険な挙動」があることが分かったと伝えた。



 FireEye社はこの件でアップルと協力しているとアナウンスしていますが、相変わらずアップルからは何もアナウンスはありません。
 
 「Androidは危険、iOSは安全」というのはもはや過去のものかもしれませんね。


関連記事


OpenSSLの脆弱性「Heartbleed Bug」をチェックするサイト : I believe in technology
「The Heartbleed Bug」と名付けられたこの脆弱性が含まれるバージョンの「OpenSSL」を利用しているサーバ管理者や企業などのセキュリティ担当者は対応に苦慮されているかと思います。


キャプチャー画像を利用し、入力チェックまでするアップルのフィッシングサイト : I believe in technology
またもやアップルのフィッシングサイトが見つかりました。    しかし、これまでとは異なる特徴がありましたので、参考までにご紹介します。トップページはこんな感じ。アップルストアのサインイン画面です。URLは「http://www.appleidconfirm.net」とアップルのIDのconfirm(確認)サイトと誤解させるようなURLとなっています。


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。