1: 海江田三郎 ★ 2015/06/21(日) 10:46:45.43 ID:???.net
http://gigazine.net/news/20150618-ios-os-x-password-killer/
AppleのiOSとOS Xに存在するゼロデイ脆弱性を利用して、Appleのパスワード保存システムをクラックできることを
複数の国にまたがる共同研究チームが指摘しています。MacやiOSのユーザーは
端末に保存しているiCloudのパスワードやGoogle Chromeなどに保存されているパスワードを盗み取られる危険性があるとのことです。
この脆弱性の根本的な原因は、アプリ間とアプリ-OS間の認証システムの欠陥に由来しているとのこと。
研究チームではOS XとiOSのアプリコードを分析して、情報がきちんと保護されているかどうかを測定。
何百ものアプリを調べた結果、影響力のある数多くのアプリに脆弱性が存在することが判明したそうです。
このバグを悪用すれば、通常はアプリ間でパスワードなどの情報をやりとりする際に情報が暗号化されるところを、
アプリの脆弱性を突いてパスワードの暗号化を解除する攻撃「cross-app resource access attacks(XARA)」が可能とのこと。
また、OS XとiOSを搭載する端末内で複数のアプリのパスワードと証明書を保存している『キーチェーンサービス』をクラックすることで、
攻撃者はOS XとiOSの標準搭載アプリの通信機構を使ってiCloudのパスワードや、メールソフトとGoogle Chromeなどに
保存されているパスワードを盗み取ることが可能とのこと。Evernote・Facebook・WeChatなどの個人情報が多く含まれる
アプリの情報を盗み取ることが可能で、これらのバグを悪用すればOS XとiOS用に配信中のアプリのうち約88.6%のアプリから
情報が盗み取られる可能性があるそうです。
キーチェーンサービスをクラックしてパスワードを丸見えにしている様子は以下のムービーで見ることができます。
研究を率いるLuyi Xing氏は2014年10月にこれらのバグについてAppleに報告していて、
Appleからは「脆弱性を公開するまで6カ月待ってほしい」と返答がありましたが、6カ月以上経った今も、Appleからは何の連絡もないそうです。
研究チームがGoogle Chromeの開発チームに連絡を取ったところ、「アプリのレベルではバグを解決できない可能性が高い」
という回答を得たとのこと。さらに、パスワード管理ソフト1Passwordを提供しているAgileBitsは「攻撃を回避する
方法を4カ月にわたって検討しましたが、発見できていません」と語っています。この問題は簡単に解決できるものではないため、
研究チームでは、OS Xへの攻撃を検出して脆弱性のあるアプリを攻撃される前に保護するコードを作成しています。
テクノロジー系ニュースサイトのThe Registerによると、この問題は記事作成時点も未だ解決しておらず、Appleはコメントを控えているとのことです。
AppleのiOSとOS Xに存在するゼロデイ脆弱性を利用して、Appleのパスワード保存システムをクラックできることを
複数の国にまたがる共同研究チームが指摘しています。MacやiOSのユーザーは
端末に保存しているiCloudのパスワードやGoogle Chromeなどに保存されているパスワードを盗み取られる危険性があるとのことです。
この脆弱性の根本的な原因は、アプリ間とアプリ-OS間の認証システムの欠陥に由来しているとのこと。
研究チームではOS XとiOSのアプリコードを分析して、情報がきちんと保護されているかどうかを測定。
何百ものアプリを調べた結果、影響力のある数多くのアプリに脆弱性が存在することが判明したそうです。
このバグを悪用すれば、通常はアプリ間でパスワードなどの情報をやりとりする際に情報が暗号化されるところを、
アプリの脆弱性を突いてパスワードの暗号化を解除する攻撃「cross-app resource access attacks(XARA)」が可能とのこと。
また、OS XとiOSを搭載する端末内で複数のアプリのパスワードと証明書を保存している『キーチェーンサービス』をクラックすることで、
攻撃者はOS XとiOSの標準搭載アプリの通信機構を使ってiCloudのパスワードや、メールソフトとGoogle Chromeなどに
保存されているパスワードを盗み取ることが可能とのこと。Evernote・Facebook・WeChatなどの個人情報が多く含まれる
アプリの情報を盗み取ることが可能で、これらのバグを悪用すればOS XとiOS用に配信中のアプリのうち約88.6%のアプリから
情報が盗み取られる可能性があるそうです。
キーチェーンサービスをクラックしてパスワードを丸見えにしている様子は以下のムービーで見ることができます。
研究を率いるLuyi Xing氏は2014年10月にこれらのバグについてAppleに報告していて、
Appleからは「脆弱性を公開するまで6カ月待ってほしい」と返答がありましたが、6カ月以上経った今も、Appleからは何の連絡もないそうです。
研究チームがGoogle Chromeの開発チームに連絡を取ったところ、「アプリのレベルではバグを解決できない可能性が高い」
という回答を得たとのこと。さらに、パスワード管理ソフト1Passwordを提供しているAgileBitsは「攻撃を回避する
方法を4カ月にわたって検討しましたが、発見できていません」と語っています。この問題は簡単に解決できるものではないため、
研究チームでは、OS Xへの攻撃を検出して脆弱性のあるアプリを攻撃される前に保護するコードを作成しています。
テクノロジー系ニュースサイトのThe Registerによると、この問題は記事作成時点も未だ解決しておらず、Appleはコメントを控えているとのことです。
29: 名刺は切らしておりまして 2015/06/21(日) 12:15:32.06 ID:Ud+U1z81.net
>>1
>パスワードと証明書を保存している『キーチェーンサービス』
俺最初からこいつは信用してなかった
>パスワードと証明書を保存している『キーチェーンサービス』
俺最初からこいつは信用してなかった
3: 名刺は切らしておりまして 2015/06/21(日) 10:55:17.64 ID:khiRMJpR.net
バグ報告しても無回答だったり全然直してくれないんだよね。そして次のメジャーバージョンアップでひっそり直されてたりする。
事務的でもすぐレスポンス返してくれて、結構重要な情報だと感謝状までくれる某社と大違いな印象。
事務的でもすぐレスポンス返してくれて、結構重要な情報だと感謝状までくれる某社と大違いな印象。
5: 名刺は切らしておりまして 2015/06/21(日) 10:58:04.33 ID:iZlQKhrd.net
appleのOSはウイルスの心配はないとwindowsを皮肉ってた時代がありました。
19: 名刺は切らしておりまして 2015/06/21(日) 11:40:38.28 ID:u2RY6u+6.net
>>5
攻撃する価値無しと思われてただけなのにね
攻撃する価値無しと思われてただけなのにね
6: 名刺は切らしておりまして 2015/06/21(日) 11:00:19.97 ID:KdJRaEM3.net
またパス変更か、めんどくさいな
7: 名刺は切らしておりまして 2015/06/21(日) 11:02:32.66 ID:dpdizowu.net
仕様です
8: 名刺は切らしておりまして 2015/06/21(日) 11:10:00.60 ID:4ElRGkSa.net
な?人間の作るもんなんてどこも同じなんだよ。
そう、アップルならねw
そう、アップルならねw
9: 名刺は切らしておりまして 2015/06/21(日) 11:12:24.61 ID:Y11MesGJ.net
これも神の試練です
10: 名刺は切らしておりまして 2015/06/21(日) 11:15:05.51 ID:XLYv2GEy.net
とりあえずカメラにガムテープはっとけ
11: 名刺は切らしておりまして 2015/06/21(日) 11:24:42.86 ID:zj2mMDpS.net
相変わらずサムスンのアップル下げ工作がひどいな。
15: 名刺は切らしておりまして 2015/06/21(日) 11:29:31.84 ID:/m+/4Grw.net
>>11
現実を受け入れよう。
現実を受け入れよう。
12: 名刺は切らしておりまして 2015/06/21(日) 11:27:49.08 ID:af26JxhB.net
お手上げ?
13: 名刺は切らしておりまして 2015/06/21(日) 11:27:54.68 ID:g87SxrOc.net
創造主もこれでフォトショップで加工した地鶏画像流失
したしな
したしな
16: 名刺は切らしておりまして 2015/06/21(日) 11:29:40.84 ID:qfSANJwC.net
次のメジャーバージョンアップで対応な?まっとけ
ぐらいのスタンスがアップル様の平常運転
YosemiteもバグだらけOSで放置でMSを笑えないレベルに
ぐらいのスタンスがアップル様の平常運転
YosemiteもバグだらけOSで放置でMSを笑えないレベルに
17: 名刺は切らしておりまして 2015/06/21(日) 11:36:52.45 ID:+EE5K41M.net
んで、実際どうやってこの脆弱性を突くの?
18: 名刺は切らしておりまして 2015/06/21(日) 11:38:14.39 ID:KdJRaEM3.net
>>17
製造中止にするんだろ、時計を
かわりをいまアップルでつくってるよな
製造中止にするんだろ、時計を
かわりをいまアップルでつくってるよな
20: 名刺は切らしておりまして 2015/06/21(日) 11:42:43.27 ID:Wm4r0XjP.net
多分、根幹に関わる問題なんだろうな
治さないんじゃなくて、簡単には治せない
治さないんじゃなくて、簡単には治せない
21: 名刺は切らしておりまして 2015/06/21(日) 11:45:33.84 ID:XLYv2GEy.net
人類は再び原始時代に戻るであろう
ってグーグルだかアップルだかの偉い人が発言してるけど、意味深だね。
裸で暮らしていた時代に戻るって??
ってグーグルだかアップルだかの偉い人が発言してるけど、意味深だね。
裸で暮らしていた時代に戻るって??
22: 名刺は切らしておりまして 2015/06/21(日) 11:47:38.76 ID:llRN/ZxZ.net
お手上げwww
23: 名刺は切らしておりまして 2015/06/21(日) 11:48:37.00 ID:XxqKy6g5.net
それよかアップルウオッチの雨で壊れる脆弱性とGPSが仕様から抜けてる脆弱性をどうにかしろよ
24: 名刺は切らしておりまして 2015/06/21(日) 11:49:07.01 ID:llRN/ZxZ.net
ということは既に盗まれてる可能性大w
26: 名刺は切らしておりまして 2015/06/21(日) 11:57:11.68 ID:bLZtAGr5.net
Apple 「でもMacなら大丈夫。」
27: KUM(゚_゚)N ◆o4DQN..yEA 2015/06/21(日) 12:04:01.01 ID:yIl8OkYG.net
(゚_゚)キーチェーンは使ってない。
iCloudで新規登録のブラウザの真っ白なブックマークを最新と勘違いして全てが消えた事があった。
iCloudで新規登録のブラウザの真っ白なブックマークを最新と勘違いして全てが消えた事があった。
28: 名刺は切らしておりまして 2015/06/21(日) 12:08:15.82 ID:BAA5ko/b.net
>>27
Macでキーチェーン使わないってことは、パスワード全部覚えさせないってことだけど、ほんとか?
俺も仕事マシンは敢えてそうしてるけど、おそろしく面倒くさい。
Macでキーチェーン使わないってことは、パスワード全部覚えさせないってことだけど、ほんとか?
俺も仕事マシンは敢えてそうしてるけど、おそろしく面倒くさい。
30: 名刺は切らしておりまして 2015/06/21(日) 12:18:21.07 ID:U/c1HDoA.net
ios8クソすぎ、もうAppleも駄目だな
元スレ:http://anago.2ch.sc/bizplus/1434851205/
コメントする