AppleはiOS 7の基本的なSSLバグを修正

Appleは金曜日の午後遅くにiOS 7.06を静かにリリースし、iOS 7がSSL証明書を検証する方法の問題を修正しました。 専門家は、攻撃者はこの問題を悪用して中間者攻撃を仕掛け、すべてのユーザーアクティビティを盗聴できると警告しています。

「特権的なネットワークの位置を持つ攻撃者は、SSL / TLSで保護されたセッションのデータをキャプチャまたは変更する可能性があります」とAppleはその勧告で述べています。

ユーザーはすぐに更新する必要があります。

盗聴者に注意

いつものように、Appleはこの問題に関する多くの情報を提供しませんでしたが、脆弱性に詳しいセキュリティ専門家は、被害者と同じネットワーク上の攻撃者が安全な通信を読むことができると警告しました。 この場合、攻撃者はユーザーのiOS 7デバイスからGmailやFacebookなどのセキュリティで保護されたサイト、またはオンラインバンキングセッションに渡されるメッセージを傍受し、さらには変更する可能性があります。 CrowdStrikeのCTOであるDmitri Alperovich氏は、この問題は「AppleのSSL実装の基本的なバグ」です。

ソフトウェアアップデートは、iPhone 4以降、第5世代iPod Touch、iPad 2以降のiOSの現在のバージョンで利用できます。 iOS 7.06およびiOS 6.1.6。 同じ欠陥が最新バージョンのMac OS Xにも存在しますが、まだパッチは適用されていません、GoogleのシニアエンジニアであるAdam Langleyは、ImperialVioletブログに書いています。 Langleyは、この欠陥がiOS 7.0.4およびOS X 10.9.1にも存在することを確認しました

証明書の検証は、セキュリティで保護されたセッションを確立する上で重要です。これは、サイト（またはデバイス）が信頼できるソースからの情報であることを検証する方法だからです。 証明書を検証することにより、銀行のWebサイトはリクエストがユーザーからのものであり、攻撃者によるなりすましのリクエストではないことを認識します。 また、ユーザーのブラウザーは証明書に依存して、応答が銀行のサーバーから送信されたものであり、中間に座って機密通信を傍受した攻撃者からではないことを確認します。

デバイスを更新する

SecureTransportの代わりにNSSを使用するChromeおよびFirefoxは、基盤となるOSが脆弱であっても脆弱性の影響を受けないと思われる、とLangleyは述べた。 彼はhttps://www.imperialviolet.org:1266にテストサイトを作成しました。 「ポート1266でHTTPSサイトをロードできる場合、このバグが発生します」とLangley氏は述べています

ユーザーは、できるだけ早くAppleデバイスを更新し、OS X更新プログラムが利用可能になったら、そのパッチも適用する必要があります。 信頼できるネットワーク上で更新を適用する必要があります。また、ユーザーは旅行中/信頼できないネットワーク（特にWi-Fi）

CrowdStrikeの研究者であるAlex Radoceaは、「パッチを適用していないモバイルおよびラップトップデバイスでは、「ネットワークへの参加を確認」設定をOFFに設定します。これにより、信頼できないネットワークに接続するプロンプトが表示されなくなります」

政府の索の可能性に関する最近の懸念を考慮すると、iPhoneとiPadが証明書を正しく検証していないという事実は、一部の人にとっては憂慮すべきことです。 「次のことを言う以外は、Appleのバグについて詳しく説明するつもりはありません。それは深刻に悪用可能であり、まだ制御されていません」と、ジョンズ・ホプキンス大学の暗号学教授であるマシュー・グリーンはTwitterに投稿しました。