昨年7月、Googleのセキュリティ研究者がAppleのApp Storeに複数の脆弱性を発見しました。これは、同社がHTTPS暗号化を採用していなかったことに起因するものでした。それから約6か月後、AppleはHTTPS暗号化の採用を開始しました。そして、研究者はハッカーがこれらの脆弱性を悪用した場合にユーザーに発生する可能性のある問題の一部を公表しました。
ザ・ヴァージ:
Elie Bursztein 氏がブログで説明しているように、App Store の暗号化が欠如していたため、悪意のあるユーザーが iOS ユーザーのパスワードを乗っ取ったり、ユーザーに意図しないアプリをダウンロードさせたり、アプリのインストールを完全に阻止したり、アプリのアップグレードを操作してユーザーが意図しないアプリをインストールするように仕向けたりすることが可能だった可能性があります。
アプリスワッピングの脆弱性は、ユーザーが無料アプリをダウンロードするつもりでいたにもかかわらず、アプリを購入させてしまう可能性がありました。このような脆弱性を悪用するには、攻撃者がiOSユーザーと同じWi-Fiネットワークに接続している必要がありますが、スターバックス、空港、さらにはサムズクラブでも無料Wi-Fiが利用できる今日の世界では、これは想像に難くありません。
パスワード盗難の脆弱性は、ユーザーにとって最も恐ろしい問題です。過去の事例からもわかるように、ハッカーはユーザーのApple IDを掌握すれば、深刻な被害をもたらす可能性があります。
本当に残念なのは、Appleがこの問題を修正するのに6ヶ月もかかったことです。バーステイン氏は、2012年7月にAppleに調査結果を報告したと述べています。AppleがHTTPS暗号化を有効にしたのは2013年1月末でした。
それでもまだ怖くないなら、App Storeは何年もHTTPS暗号化が有効になっていないまま運営されていました。この脆弱性が悪意ある者たちの目に留まらなかったのは、まさに幸運でした。私たちが知る限りでは。
