数百万の iPhone および iPad ユーザーが使用するアプリは、HTTPS 接続を確立するために使用するサードパーティ コードに欠陥が導入されたため、スヌーピングに対して脆弱になりました。
この脆弱性は、数十万ものiOSおよびMac OS XアプリケーションがWebサービスとの通信に使用している「AFNetworking」と呼ばれるオープンソースライブラリに存在していました。このバグにより、安全なHTTPS(HTTP over SSL/TLS)接続を確立する際に、サーバーが提示するデジタル証明書の検証が無効化されていました。
つまり、影響を受けるアプリケーションとHTTPSサーバー間の暗号化トラフィックを傍受できる攻撃者は、偽の証明書をアプリに提示することで、データを復号・改ざんできる可能性があるということです。これは中間者攻撃と呼ばれ、安全でない無線ネットワーク、ルーターへのハッキング、その他の手段によって実行される可能性があります。
この脆弱性は、2月9日にリリースされた AFNetworking の特定のバージョン (2.5.1) を使用するアプリケーションにのみ影響し、その中でもライブラリの SSL/TLS 機能に依存するアプリケーションにのみ影響したため、iOS エコシステムに対するこの欠陥の影響を測ることは困難でした。
この脆弱性は3月26日にリリースされたAFNetworking 2.5.2で修正されたため、この脆弱性は6週間強にわたって存在していました。この期間に、脆弱性のあるバージョンにアップデートされたiOSアプリはいくつあり、そのうちHTTPS通信の確立にそのバージョンを使用していたアプリはいくつあったのでしょうか?iOSおよびAndroidアプリにおけるサードパーティ製コンポーネントの使用状況を追跡しているSourceDNAという企業が、その答えを持っていると主張しています。
同社は月曜日のブログ投稿で、App Storeにある140万本のiOSアプリのうち、10万本以上がAFNetworkingライブラリを使用していると述べた。そのうち約2万本は、脆弱性が存在していた期間中にアップデートまたはリリースされていた。
SourceDNAは、脆弱なAFNetworkingコードのシグネチャを作成し、2万個のアプリをスキャンして、そのうちどれだけのアプリがこのシグネチャを使用しているかを調べました。スキャンの結果、55%のアプリが古い安全なバージョンのライブラリ2.5.0を使用しており、さらに40%のアプリはライブラリの脆弱なSSL/TLS API(アプリケーション・プログラミング・インターフェース)を全く使用しておらず、5%(約1,000個のアプリ)が脆弱であることが判明しました。
10 万個のアプリのうち 1,000 個が脆弱というのは、それほど悪くないように思えるかもしれませんが、Yahoo、Microsoft、Uber Technologies、Citrix などの有名ベンダーの人気アプリも含まれていることを考えると、実際にはそうではありません。
「わずか6週間でセキュリティ上の欠陥をもたらしたオープンソースライブラリが、何百万人ものユーザーを攻撃にさらしたとは驚きだ」とSourceDNAは述べた。
Yahoo を含む一部のベンダーはすでにアプリにパッチを適用していますが、他のアプリは依然として脆弱であるため、SourceDNA はユーザーがインストールしたアプリに脆弱性があるかどうかを確認できる Web サイトを作成しました。
