iOSのセキュリティ欠陥、実は欠陥でも何でもなかった?

141117AppleSecurity.jpg

情報が光速で巡る今こそ、落ち着いて確かめる必要性がありますね。

先週の始め、セキュリティ会社FireEyeによって発見された、「マスク・アタック」と呼ばれるiOSの新しいセキュリティ欠陥。しかしアップルがiMoreにリリースした声明によると、これは欠陥でも何でもなく、被害報告も確認していないそうです。

研究者の発表したブログの投稿によると、マスク・アタックは正規アプリの偽物を作り出して本物の真上に配置し、ユーザに気づかれることなく情報を横流しするものです。聞いただけだと恐ろしいですが、実はそうでもありません。というのも、このアタックを受けるにはユーザはあからさまに怪しいリンクにアクセスし、危険なアプリのダウンロードを警告するiOSのポップアップを通過しないといけないからです。しかも、ハッカー側はiOS Developer Enterprise Programのアカウントを保持していなければいけません。

「OS XとiOSにはユーザを守り、危険なソフトがインストールされる前に警告するセーフガードが備えられています。このアタックによる実害は報告されていません。ユーザの皆さんには、アプリストアなど信頼性のある場所のみからダウンロードし、その際には警告をしっかり読むことを強くお勧めしています。カスタムのアプリをインストールするエンタープライズユーザの方は、各企業のセキュアサイトからダウンロードするようにして下さい」

インストール前の警告を無視してまで怪しいアプリをインストールすることを欠陥というのならば、携帯、デスクトップを含むすべて端末のほぼすべてのOSに同じ欠陥があることになります。マスク・アタックの唯一恐ろしいところは、正規アプリが悪用されてしまう点だけです。

この一件から学ぶことがあるとすれば、今やマーケティング次第でどんな些細な事案もセキュリティ欠陥だと認識される可能性があることでしょう。

source: iMore

Chris Mills - Gizmodo US[原文

(scheme_a)