iPhoneニュース

Apple Storeで配信中の15,978個のアプリに「ZipperDown」による情報漏洩の可能性

ZipperDown攻撃とはなんなのか?

「ZipperDown」攻撃とは、不正なプログラミングが実行されてしまう攻撃です。

クラッカーは、アプリケーションのプログラミングエラーを利用し、アプリケーションのプログラムを不正に書き換え、クラッカーの意図プログラムをiPhone上で実行することができます。

例えば、ゲームのアプリをダウンロードしたとして、そのゲームプログラムに「ZipperDown」攻撃に利用できるプログラミングエラーが検出された場合、クラッカーによりクラッキングされる可能性があるということです。

ZipperDown攻撃のデモ映像

中国の研究者は、脆弱性を抱えたアプリをインストールしているiPhoneユーザーが何千万もおり、危険な攻撃に対してデバイスを開放している、と警告しています。

有名なiPhoneのクラッキングチーム「Pangu Team」によると、ZipperDownと呼ばれるこの欠陥は、1億回のダウンロードを受けた15,978のiOSアプリケーションに存在しています。

Pangu Teamは、ZipperDownを解説するウェブサイトに「これは非常に典型的なプログラミングエラーを利用した攻撃です。一般に、攻撃者はアプリのデータを上書きしたり、アプリのプログラミングエラーを利用し、悪意のあるコードを実行することができます。」とPangu Teamは付け加えました。

iPhone、Androidのサンドボックスには、ZipperDownを制限するようなシステムが組み込まれています。

ですが、ZipperDownの制限にもかかわらず、いくつか懸念する理由があります。

アプリのセキュリティ会社Verify.lyの創設者は、ZipperDownは、アプリのプログラミングエラーによっては、詳細情報へのアクセスを許可されており、iPhoneの "完全な悪用を防ぐことは難しい"と考えています。

対策方法はどうしたらいい?

iOSは常に最新のものにアップデートする

これは、ZipperDown攻撃に限った話ではありませんが、システムのバージョンアップをしないと、セキュリティホールといって、セキュリティの穴が開いたままになります。

このセキュリティの穴を塞ぐためにも、アップデートをする必要があります。

ですので、iOSのアップデートがきたら、面倒がらずにアップデートを行うようにしましょう。

不必要なアプリはインストールしない

ゲーム系のアプリ、無料で音楽を聞ける系のアプリ、などのアプリには、潜在的なプログラミングエラーが混入されている可能性があります。

こうしたアプリは、極力インストールを控えたほうがいいでしょう。

公衆無線LANには接続しない

同じ公衆無線LANにアクセスするのは危険です。

もしかすると、同じWi-Fiネットワーク上にいる悪意のある第三者がいて、あなたのiPhoneが標的になっている可能性があります。

これは日本だけの問題ではありません。

アジアや中東には、Wi-Fiがあちこちで散見されます。

こうしたセキュリティ的に弱く、かつ、不特定多数の人間がアクセスするところでのインターネットの利用は、ハッキングの可能性を否定できないので、極力利用するのは控えましょう。

公衆Wi-Fiネットワークや悪意を持って設置されている私設ネットワーク上アクセスしている場合、特定の方法で作成されたコンテンツを使って、iPhoneにアプリをダウンロードすることができ攻撃もあるので、気をつけましょう。

 

アプリの更新も定期的に行う

ZipperDown攻撃は、アプリのプログラミングエラーを利用した攻撃なので、iOSのシステムアップデートでは防げません。

アプリ自体を更新する必要があります。

また、アプリがZipperDown攻撃に対応しているかは、公式サイトなどを確認して状況を確認すると良いでしょう。

まとめ

こうしたプログラミングのエラーを利用した脆弱性は、定期的に発見されます。

一番の対策はやはり、OSおよびアプリケーションを最新の状態にアップデートしておくことです。

最新の状態に更新することで、不正利用のリスクを下げることができます。

Source:Forbes

おすすめの記事