サイトアイコン ガジェット2ch

【悲報】iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺


ヤバイの?
1: 海江田三郎 ★ 2015/06/21(日) 10:46:45.43 ID:???.net
http://gigazine.net/news/20150618-ios-os-x-password-killer/

AppleのiOSとOS Xに存在するゼロデイ脆弱性を利用して、Appleのパスワード保存システムをクラックできることを複数の国にまたがる共同研究チームが指摘しています。MacやiOSのユーザーは端末に保存しているiCloudのパスワードやGoogle Chromeなどに保存されているパスワードを盗み取られる危険性があるとのことです。

この脆弱性の根本的な原因は、アプリ間とアプリ-OS間の認証システムの欠陥に由来しているとのこと。研究チームではOS XとiOSのアプリコードを分析して、情報がきちんと保護されているかどうかを測定。何百ものアプリを調べた結果、影響力のある数多くのアプリに脆弱性が存在することが判明したそうです。
このバグを悪用すれば、通常はアプリ間でパスワードなどの情報をやりとりする際に情報が暗号化されるところを、アプリの脆弱性を突いてパスワードの暗号化を解除する攻撃「cross-app resource access attacks(XARA)」が可能とのこと。

また、OS XとiOSを搭載する端末内で複数のアプリのパスワードと証明書を保存している『キーチェーンサービス』をクラックすることで、攻撃者はOS XとiOSの標準搭載アプリの通信機構を使ってiCloudのパスワードや、メールソフトとGoogle Chromeなどに保存されているパスワードを盗み取ることが可能とのこと。Evernote・Facebook・WeChatなどの個人情報が多く含まれるアプリの情報を盗み取ることが可能で、これらのバグを悪用すればOS XとiOS用に配信中のアプリのうち約88.6%のアプリから情報が盗み取られる可能性があるそうです。

キーチェーンサービスをクラックしてパスワードを丸見えにしている様子は以下のムービーで見ることができます。

研究を率いるLuyi Xing氏は2014年10月にこれらのバグについてAppleに報告していて、Appleからは「脆弱性を公開するまで6カ月待ってほしい」と返答がありましたが、6カ月以上経った今も、Appleからは何の連絡もないそうです。

研究チームがGoogle Chromeの開発チームに連絡を取ったところ、「アプリのレベルではバグを解決できない可能性が高い」という回答を得たとのこと。さらに、パスワード管理ソフト1Passwordを提供しているAgileBitsは「攻撃を回避する方法を4カ月にわたって検討しましたが、発見できていません」と語っています。この問題は簡単に解決できるものではないため、研究チームでは、OS Xへの攻撃を検出して脆弱性のあるアプリを攻撃される前に保護するコードを作成しています。

テクノロジー系ニュースサイトのThe Registerによると、この問題は記事作成時点も未だ解決しておらず、Appleはコメントを控えているとのことです。

2: 名刺は切らしておりまして 2015/06/21(日) 10:51:46.31 ID:BAA5ko/b.net
まあyosemite腐ってるからな
他のバグ潰しに忙しくて手が回らんだろ

5: 名刺は切らしておりまして 2015/06/21(日) 10:58:04.33 ID:iZlQKhrd.net
appleのOSはウイルスの心配はないとwindowsを皮肉ってた時代がありました。

6: 名刺は切らしておりまして 2015/06/21(日) 11:00:19.97 ID:KdJRaEM3.net
またパス変更か、めんどくさいな

8: 名刺は切らしておりまして 2015/06/21(日) 11:10:00.60 ID:4ElRGkSa.net
な?人間の作るもんなんてどこも同じなんだよ。

そう、アップルならねw

9: 名刺は切らしておりまして 2015/06/21(日) 11:12:24.61 ID:Y11MesGJ.net
これも神の試練です

10: 名刺は切らしておりまして 2015/06/21(日) 11:15:05.51 ID:XLYv2GEy.net
とりあえずカメラにガムテープはっとけ

12: 名刺は切らしておりまして 2015/06/21(日) 11:27:49.08 ID:af26JxhB.net
お手上げ?

16: 名刺は切らしておりまして 2015/06/21(日) 11:29:40.84 ID:qfSANJwC.net
次のメジャーバージョンアップで対応な?まっとけ

ぐらいのスタンスがアップル様の平常運転
YosemiteもバグだらけOSで放置でMSを笑えないレベルに

17: 名刺は切らしておりまして 2015/06/21(日) 11:36:52.45 ID:+EE5K41M.net
んで、実際どうやってこの脆弱性を突くの?

20: 名刺は切らしておりまして 2015/06/21(日) 11:42:43.27 ID:Wm4r0XjP.net
多分、根幹に関わる問題なんだろうな
治さないんじゃなくて、簡単には治せない

27: KUM(゚_゚)N ◆o4DQN..yEA 2015/06/21(日) 12:04:01.01 ID:yIl8OkYG.net
(゚_゚)キーチェーンは使ってない。
iCloudで新規登録のブラウザの真っ白なブックマークを最新と勘違いして全てが消えた事があった。

28: 名刺は切らしておりまして 2015/06/21(日) 12:08:15.82 ID:BAA5ko/b.net
>>27
Macでキーチェーン使わないってことは、パスワード全部覚えさせないってことだけど、ほんとか?
俺も仕事マシンは敢えてそうしてるけど、おそろしく面倒くさい。

31: KUM(゚_゚)N ◆o4DQN..yEA 2015/06/21(日) 12:18:33.25 ID:yIl8OkYG.net
>>28
(゚_゚)個々に覚えさせているが、同期させてないってこと。
個々に覚えさせてる数が違うから、重複ならまだしも消えるかもというトラウマがある。
多分、確率の低い事象だろうが。

29: 名刺は切らしておりまして 2015/06/21(日) 12:15:32.06 ID:Ud+U1z81.net
>>1
>パスワードと証明書を保存している『キーチェーンサービス』

俺最初からこいつは信用してなかった

30: 名刺は切らしておりまして 2015/06/21(日) 12:18:21.07 ID:U/c1HDoA.net
ios8クソすぎ、もうAppleも駄目だな

34: 名刺は切らしておりまして 2015/06/21(日) 12:27:00.76 ID:czCWhW+d.net
>>30
アンドロイドのセキュリティーがもっと糞すぎるから、力関係に変化はないよ

32: 名刺は切らしておりまして 2015/06/21(日) 12:22:54.29 ID:czCWhW+d.net
>>1
・・・とは言え、iOSはアンドロイドと違って、本体を丸ごと乗っ取られる危険性だけはほとんど無いんだよなw

33: 名刺は切らしておりまして 2015/06/21(日) 12:26:04.23 ID:MbigMZNT.net
>>32
そう思ってて実は簡単に乗っ取られてるかもよ、今回の対応見てると起きても不思議じゃない。

36: 名刺は切らしておりまして 2015/06/21(日) 12:30:01.78 ID:czCWhW+d.net
>>33
アンドロイドのOSが簡単に乗っ取られる実証実験は、専門家にウィルスを作らせて感染させる手法で、
TVでもよく検証されるが、そういう番組ですらiPhoneの乗っ取りは今のところ、無理という見解だから、今のところは安全なんだよ

54: 名刺は切らしておりまして 2015/06/21(日) 13:16:34.77 ID:jrKfCcXY.net
>>36
テレビで番組の検証結果から安全って…

56: 名刺は切らしておりまして 2015/06/21(日) 13:21:48.62 ID:czCWhW+d.net
>>54
テレビでは、専門家を呼んで、「危険です」といったほうが、視聴率が上がる(という業界の常識)があるから、
出来ればiOSも本体を乗っ取られる危険があると言いたいわけだが、それすらできないのが、iOSという話

38: 名刺は切らしておりまして 2015/06/21(日) 12:31:57.97 ID:EZDBlkVM.net
セキュリティホールだろうがなんだろうがバグ放置は毒リンゴのお家芸だろ
いまさらだぜ

41: 名刺は切らしておりまして 2015/06/21(日) 12:36:43.14 ID:gLXW6Aq8.net
あんまり機械のことわからないけど、
アンドロイドが乗っ取られるってのはオープンソースだからやりやすいってだけで
こんだけ皆がiPhone使ってる現状狙われやすいのは確実で
すぐにWindowsが乗っ取られるくらいのリスクになると思う・・・ってかなってるのかも知らんが

45: 名刺は切らしておりまして 2015/06/21(日) 12:52:12.92 ID:czCWhW+d.net
>>41
少なくとも、日本のウィルスを研究している専門家たちは、いまだiOSを乗っ取れっるプログラムを発見していない
逆に、アンドロイドを乗っ取れるプログラムは、複数、知れ渡っていて、わざと感染させて、TVで乗っ取り検証をしているけどな

48: 名刺は切らしておりまして 2015/06/21(日) 13:04:30.82 ID:7QUD3T6B.net
iOSの話題なのに何故かAndroidをdisり始める信者さんw

58: 名刺は切らしておりまして 2015/06/21(日) 13:38:37.61 ID:EIQKjozy.net
これじゃ馬鹿にしてたMSと五十歩百歩じゃねーか

61: 名刺は切らしておりまして 2015/06/21(日) 14:16:35.93 ID:QFwB5+sf.net
一番の問題はセキュリティ脆弱性なんてどのOSにも存在するのにappleは問題ないと考えてるユーザー
そのせいで最も危険なOSになりかねない

26: 名刺は切らしておりまして 2015/06/21(日) 11:57:11.68 ID:bLZtAGr5.net
Apple 「でもMacなら大丈夫。」

42: 名刺は切らしておりまして 2015/06/21(日) 12:40:51.58 ID:4ElRGkSa.net
>>26
大丈夫じゃないだろw

引用元: http://anago.2ch.sc/test/read.cgi/bizplus/1434851205/


モバイルバージョンを終了