およそ1500のiOSアプリに、HTTPSに関連した致命的な不具合が存在していることが、リサーチ企業SourceDNSによって明らかにされました(SourceDNS、Ars Technica、9to5Mac)。
この不具合は、今年2月にリリースされた、iOS用の著名なネットワークライブラリ「AFNetworking」のバージョン2.5.1を原因とするもので、証明書の検証に不具合が存在するため、悪意の第三者による中間者攻撃が可能となっているというものです(どのような不具合かはここで解説されています)。
目次
AFNetworking 2.5.2ですでに修正済みだが…
バグはAFNetworking 2.5.2ですでに修正されていますが、いまだAFNetworking 2.5.1を使用している1500個のアプリは、この不具合の脅威にさらされていることになります。具体的なアプリの名前として、Citrix OpenVoice Audio Conferencing、Alibaba.com mobile app、Movies by Flixster with Rotten TomatoesKYBankAgent 3.0Revo Restaurant Point of Saleなどが挙げられていて、SourceDNSが公開している脆弱性アプリ確認ツールを使って、この不具合が影響するアプリを確認することもできます。
iOSデバイス全体が脆弱性にさらされるわけではなく、あくまでもAFNetworking 2.5.1を使っているアプリの固有の機密データが影響を受ける不具合ですが、気になる方は確認してみたほうが安全かもしれません。
もちろんアプリ開発者でAFNetworking 2.5.1を使っている方はただちにアップデートしたほうが良いと思います。