AppleのiOSとOS Xで致命的な脆弱性が発見、キーチェーンとパスワードが盗まれる可能性がある。

2015/06/18 2018/09/24

AppleのiOSとOS Xでキーチェーン情報とアプリのパスワードが盗まれる可能性がある、脆弱性が見つかったと9to5Macが伝えました。

アメリカのインディアナ大学とジョージア工科大学の共同研究チームによると、iOSとOS X 両方で悪質なアプリケーションにより、キーチェーンの情報とアプリで使用されてるパスワードが盗まれる可能性がある、脆弱性が見つかったと発表しました。

今回見つかった脆弱性には特に注意が必要だそうです。
exploitと呼ばれる、今回の脆弱性は既存のどの脆弱性より深刻な問題を起こす可能性があるようです。

この脆弱性は、アプリが他のアプリのシステムデータに接続するのを防ぐための、サンドボックス (セキュリティ)のバイパスが可能で、Appleのアプリ審査からでもブロックされなかったようです
実際に共同研究チームはexploitコードを入れたアプリをテストのために、App storeの審査に入れて、そのままstoreに登録されたのを確認したと伝えました。

https://youtu.be/S1tDqSQDngE
「ユーザーのキーチェーンからiCloudのトークン盗む実験の例」

exploitコードが入ってるアプリをダウンロードした場合、例の動画のように他のアプリにある個人情報を盗む事が可能だそうです。
キーチェーンはログインデータ、名前、住所などのユーザーの個人情報やクレジットカード情報、SSLサーバーの認証などを保管するデジタル金庫の役割をするためキーチェーンの情報が盗まれたらその被害は深刻です。

キーチェーン以外にもOS XのメールアプリやEvernote、1Password、Dropbox、Facebook、Twitterなどのログイン情報やアプリ内のシステムファイルも盗む事が可能だそうです。
ただクライアントで盗んだ情報を、遠隔操作で他のサーバーに転送出来るかは、まだ知られてないようです。

パスワード管理ソフト1PasswordのAgileBits社からはAppleが対策を出してくれない限り、アプリからは今回の脆弱性を防ぐ方法はないと伝えました。

共同研究チームによるとこの脆弱性は昨年10月に発見されてAppleとGoogleにお知らせしたそうです。
Googleはchromeブラウザからキーチェーンを外すなど対策を立てたんですが、
Appleからは対策を準備中だと返信をもらって半年も過ぎた、今までなんの対応してないと非難し、この脆弱性の詳細は報告書としてオンラインに公開したと伝えました。

海外の多くのメディアは、OS X Yosemite 10.10.3や、現在 betaテスト中の10.10.4とiOS 8、次期リリース予定のOS X el capitan 10.11もこの脆弱性の被害を受ける可能性があり
致命的な脆弱性のため Appleから脆弱性を修正した、アップデートを出す前までは、信頼出来るアプリ以外はダウンロードしない事を強くおすすめすると伝えました。
https://youtu.be/7NGlmWtw83s
「Evernoteのデータベースを盗む実験の例」

出典：9to5mac – Major zero-day security flaws in iOS & OS X allow theft of Keychain and app passwords
出典：The Register – Apple CORED: Boffins reveal password-killer 0days for iOS and OS X

- ニュース脆弱性, セキュリティ, OS X, iOS, Apple