大学研究者がOS XとiOSに深刻な脆弱性を確認

  • 元記事:Unauthorized Cross-App Resource Access on Mac OS X and iOS
  • HP:Apple
  • 発表日時 2015/6/18

    AppleのOS XとiOSに深刻な脆弱性が確認され、大学の研究者グループが論文でこの脆弱性の詳細を明らかにした。論文によると、これらの脆弱性の悪用によりパスワードが格納された管理ツールのKeychainが破られたり、サンドボックスを回避されたり、アプリストアのセキュリティチェックが迂回され、パスワードや機密情報の流出の恐れがある。
    同グループによると、OS XとiOSに関するセキュリティ分析を行った結果、深刻な脆弱性の存在が発覚。パスワード管理ツールのKeychainや通信プロトコルのWebSocket、アプリ間の通信に影響がある。また、OS Xのサンドボックスにも脆弱性の存在が確認された。同グループがこの脆弱性を悪用してApple Storesにマルウェア含むアプリをアップロードしたところAppleの審査を通過し、アプリがアップロードされた。そしてサンドボックス化された不正アプリを使用してKeychainの内容を読み取り、他のアプリやメール、データにアクセスが可能となり、パスワードも盗取できた。
    これらの原因はアプリ間やアプリとシステム間の認証が適切に行われていないためであると説明している。同チームはこれらの脅威を検知して緩和するため、今後も新しい技術を提案していくとしている。