こんばんは、yumiです。
モバイルセキュリティプラットフォームを提供する企業のCEOで、脱獄ハッカーでもあるWill Strafach氏が「AppStore上にある人気iOSアプリ76個に、データ傍受の恐れがある」という驚きの事実を発表しました。
ユーザーが気が付かないうちにIDやパスワードなどの個人情報が盗まれてしまうとのこと…。自分のiPhoneに該当するアプリが入っていないか、ぜひチェックしてみてください!
76個の危険なアプリ
モバイルセキュリティプラットフォームを提供する企業「Sudo Security Group」のCEOで、自身は有名な脱獄ハッカーでもあるWill Strafach氏。
I just published “76 Popular Apps Confirmed Vulnerable to Silent Interception of TLS-Protected Data” https://t.co/qJxrVrZm4j
— Will Strafach (@chronic) 2017年2月6日
モバイルアプリ解析サービス「verify.ly」を開発するためAppStoreにあるアプリをスキャンしたところ、セキュリティ問題に関する膨大な情報を得られたとのこと。
なんでも「本来保護されているはずのデータ」を、ユーザーに知らせることなく傍受するアプリが見つかったそうなんです。
Strafach氏は、76個のアプリにて保護されるべき通信に「中間者攻撃」が実行できるようになっており、データ傍受・通信が可能であることを確認。
この「中間者攻撃」とは、データの通信をしているユーザーとアプリの間に「第三者」が中間に割り込み、気づかれることなく通信内容を盗んだり改ざんしたりするというもの。
なのでStrafach氏が明らかにした76個のアプリを使っていると、そこから個人情報が流出する恐れがあるというわけです…(((;゚Д゚)))
ということでその気になる76個のアプリですが、内訳は以下。
- 76個のうち33個:低リスク(メールアドレスや非敵対的ネットワークに入力されたログイン情報(IDやパスワード)などが傍受される可能性アリ)
- 76個のうち24個:中リスク(ログイン情報や認証トークンを傍受される可能性アリ)
- 76個のうち19個:高リスク(金融/医療サービスのログイン情報や認証トークンを傍受される可能性アリ)
Strafach氏は「中リスク・高リスクに分類されたアプリについては悪用される恐れがあるため、影響を受ける銀行や医療従事者などに連絡が取れたあと60日〜90日で公開する」とし、今回低リスクに分類された33個のアプリ名を公開しました。
以下、アプリ名と傍受される可能性のあるデータです(※アプリ名が赤字になっているものは、日本のAppStoreでダウンロード可能なアプリ)。
- ooVoo:ユーザー名、パスワード
- VivaVideo :iOSのバージョン、端末モデル、検索したキーワード
- Snap Upload for Snapchat :Snapchatのユーザー名、パスワード
- Uconnect Access:ユーザー名、Pandraのユーザー名とパスワード、Slacker Radioのユーザー名とパスワード
- Volify :iOSのバージョン、端末モデル、ネットワーク名、バッテリー情報
- Uploader Free for Snapchat:③の「Snap Upload for Snapchat 」と同様
- Epic!:暗号化キー
- Mico:メールアドレス、iOSバージョン
- Safe Up for Snapchat:Snapchatのユーザー名とパスワード
- Tencent Cloud:分析情報
- Uploader for Snapchat:③の「Snap Upload for Snapchat 」と同様
- Huawei HiLink (Mobile WiFi):iOSバージョン、端末モデル
- VICE News:iOSバージョン、端末モデル、APIの呼び出し
- Trading 212 Forex & Stocks:ユーザー名
- 途牛旅游:iOSバージョン、端末モデル、Wi-Fi名、Wi-FiのBSSID
- CashApp :iOSバージョン、ネットワーク名
- Clone of legitimate service:iOSバージョン、端末モデル、ネットワークコード、国識別コード
- 1000 Friends for Snapchat :③の「Snap Upload for Snapchat 」と同様
- YeeCall Messenger:メールアドレス、電話番号
- InstaRepost :分析データ
- Loops Live:ネットワークコード、国識別コード
- Privat24:iOSバージョン、端末モデル
- Private Browser:Facebookの分析データ、APIの呼び出し
- Cheetah Browser:iOSバージョン、端末モデル、位置情報、GoogleとBaiduでのオートコンプリートキーストローク
- AMAN BANK:APIの呼び出し
- FirstBank PR Mobile Banking:アプリのバージョンを確認するAPIの呼び出し
- vpn free:VPNサーバーのリストと情報
- Gift Saga:iOSバージョン、端末モデル、ネットワークコード、国識別コード
- Vpn One Click Professional:VPNサーバーのリストと情報、設定プロファイルのダウンロードリンク
- Music tube :動画リスト、検索したキーワード
- AutoLotto:APIの呼び出し
- Foscam IP Camera Viewer by OWLR for Foscam IP Cams:APIの呼び出し
- Code Scanner by ScanLife:iOSバージョン、端末モデル、ネットワークコード、国識別コード、ビーコンのリスト
以上33個が、低リスクとは言えど情報が盗まれる可能性があるアプリです。
Strafach氏は、私たちユーザーがこれらアプリを使う場合、公衆Wi-Fiをオフにして利用することを推奨。3G/4Gネットワークでも情報流出の可能性はあるものの、傍受はWi-Fiより難しくなるため危険性が下がるだろうとのこと。
とは言え、各アプリが脆弱性を修正したアップデートを配信するまで使わないのが一番安心と言えそうです。もし上記のアプリをダウンロードしている方がいれば、ご注意ください!
