約1500のiOSアプリに脆弱性があり、機密ユーザーデータの傍受を許可する可能性があります

1500のiPhoneおよびiPad用アプリが中間者攻撃（MiTM）に対して脆弱です

iPhone/iPadまたはiPodを使用している場合は心配するべきです。セキュリティ研究者は、iPhoneおよびiPad用の約1500のアプリが、ハッカーによって悪用される可能性のあるHTTPSの脆弱性を含んでいることを発見しました。この脆弱性により、中間者攻撃（MiTM）が行われ、パスワード、銀行情報、その他のプライベートなユーザー情報が盗まれる可能性があります。

ハッカーがMiTM攻撃を実行できるAFNetworkingコードライブラリの脆弱性は、SourceDNAによって明らかにされました。Cult of Macは、古いAFNetworkingコードライブラリのバージョンに脆弱性があり、バージョン2.5.2で修正されたが、いくつかのアプリ開発者がアプリを更新しておらず、攻撃に対してオープンな状態であると報告しています。

SourceDNAは、Apple App Storeで利用可能な約140万のアプリをスキャンし、約1500のアプリがAFNetworkingコードライブラリの最新バージョンに更新されていないことを発見しました。App Storeで利用可能なアプリ全体に対する比率はかなり小さいですが、パッチが適用されていないアプリが1つでもあれば、サイバー犯罪者が悪意のある目的でMiTM攻撃を仕掛けることができる可能性があります。

通常、偽のセキュアソケットレイヤー証明書は検出され、接続が即座に切断されますが、研究者はコードの論理エラーにより、検証チェックが実行されないことを発見しました。これは、AFNetworkingのバージョン2.5.1を実行しているアプリが不正な証明書を信頼してしまうことを意味します。

「この問題は、モバイルアプリケーションがSSL証明書のサーバー検証のチェックを適用するようライブラリに要求しても発生します」と研究者は書いています。「実際のデバイスでアプリをテストしたところ、予想外にも、すべてのSSLトラフィックがBurpのようなプロキシを通じて通常通り傍受できることがわかりました！」

Ars Technicaは、Citrix OpenVoice Audio Conferencing、Alibababaモバイルアプリ、Flixsterの映画（Rotten Tomatoes付き）、KYBankAgent 3.0、Revo Restaurant Point of Saleなどのアプリが依然として脆弱なAFNetworkingのバージョンを使用していると報告していますが、iPhone/iPadユーザーによく使用されるアプリやMicrosoft、Yahoo、Uberのアプリは、開発者へのプライベートな開示に従ってパッチが適用されました。