11/07/29 09:55:50.52
米Appleが7月25日のソフトウェアアップデートで修正したiOSの脆弱性について、
悪用されれば安全なはずのSSL通信を傍受されてしまう恐れがあり、
できるだけ早くアップデートを適用した方がいいとセキュリティ研究者が促している。
この問題に関連する脆弱性の存在を9年前から指摘していたという、セキュリティ研究者の
モクシー・マーリンスパイク氏は、SSL/TLS通信に対する中間者攻撃のコンセプトを
実証する目的で作った「sslsniff」というツールの更新版を25日に公開した。
更新版には脆弱性が解決されていないiOS搭載端末を見つけ出して、通信を傍受できる
機能が加わったという。
Appleのセキュリティ情報では25日のアップデートについて、
「証明書の検証に関する脆弱性」を修正するものと説明していた。
しかしセキュリティ企業の英Sophosの研究者はこの問題について、
「Appleの説明に書かれているよりもはるかに深刻」だと解説する。
悪用された場合、iPhone、iPad、iPod touchのトラフィックを知らないうちに傍受され、
SSLで保護されているはずの通信を読まれてしまう恐れがあるという。
特にiPhoneやiPadで銀行やネット決済を利用している場合は、直ちにアップデートを
導入した方がいいとSophosは助言する。
公衆無線LANを頻繁に使う場合は特に危険が大きいという。
ただし、第1世代と第2世代のiPod touchおよび3GSより前のiPhoneは
Appleのアップデートの対象外となり、脆弱性を解決する手段はない。
Sophosでは
「セキュリティやプライバシーが必要とされる用途にこれら端末を使わない方がいい」と
呼び掛けている。
ソースは
URLリンク(www.itmedia.co.jp)