1,500以上のアプリが重大なセキュリティ脆弱性に悩まされている

Movies by Flixsterなどの人気アプリの多くが現在、セキュリティ上の欠陥の影響を受けており、ハッカーが銀行口座情報、パスワード、クレジットカード番号などの個人情報を盗みやすくなる可能性があります。このニュースは、調査会社SourceDNAによって最初に報じられました。

このセキュリティ上の欠陥は、1月下旬から3月25日までダウンロード可能だったAFNetworkingプロトコルの特定のバージョン（バージョン2.5.1）に存在しています。このオープンソースソフトウェアは、開発者がアプリにネットワーク機能を提供するために使用する人気のツールです。

SourceDNAによると、約1,500本のアプリが依然としてこの脆弱性の影響を受けており、同社はApp Storeで入手可能な140万本のうち約100万本を分析した。

HTTPSの脆弱性により、ハッカーはいわゆる中間者攻撃を用いて簡単に情報を傍受できる可能性があります。カフェなどのオープンな無線ネットワークを使用している場合、この脆弱性により、アプリ内で共有された機密情報が攻撃者に容易に盗み取られる可能性があります。

脆弱性が発表され修正された当日、SourceDNAで簡単に検索したところ、AFNetworkingを使用する10万アプリのうち約2万アプリのiOSアプリがAFNetworkingライブラリを含み、かつ脆弱性のあるコードがコミットされた後にアップデートまたはApp Storeでリリースされたことが判明しました。その後、当社のシステムはこれらのアプリを差分シグネチャでスキャンし、実際に脆弱なコードを含むアプリを特定しました。

結果はどうだったでしょうか？55%は古いながらも安全な2.5.0コードを使用しており、40%はSSL APIを提供するライブラリ部分を使用していませんでした。そして5%、つまり約1,000個のアプリに脆弱性がありました。これらのアプリは重要なのでしょうか？ランキングデータと比較したところ、Yahoo!、Microsoft、Uber、Citrixなどの大手企業が脆弱性を抱えていることがわかりました。わずか6週間のセキュリティ脆弱性をもたらしたオープンソースライブラリが、数百万人のユーザーを攻撃にさらしたという事実には驚かされます。

SourceDNAは、特定の開発者のアプリがこの問題の影響を受けていないかどうかを誰でも確認できるツールも公開しました。同社によると、既に多くの開発者がこの問題を認識しており、アプリのアップデートを進めているとのことです。

現時点では、影響を受けるアプリをダウンロードしている場合は、暗号化されていないオープンなWi-Fiネットワークにはアクセスしないことを強くお勧めします。また、すべてのアプリを定期的にアップデートしてください。

今日の他のニュースについては、「Wallaby で手首からクレジットカードの特典を追跡」、「Carrot Weather が Apple Watch に天気予報と皮肉な情報を提供」、「Tidal は宣伝と高額な料金に見合う価値があるか?」をご覧ください。

無料

Flixsterの映画、Rotten Tomatoes付き

フリックススター株式会社