OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告

研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。 米AppleのOS XとiOSのアプリ間認証問題に起因する未解決の深刻な脆弱性について指摘した研究論文が公開された。パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるとしている。 論文は米インディアナ大学やジョージア工科大学、北京大学の研究者が発表した。それによると、OS XとiOSの体系的なセキュリティ分析を行った結果、深刻なセキュリティ問題が発覚。Apple Storesに承認され、サンドボックス化されている悪質アプリを使って、他のアプリの重要データに不正アクセスできてしまうことが分かった。 この問題は、OS Xで使われているパスワード管理ツール

[y-kawaz]

あー、クロスアプリの通信はブラウザのURLと違ってクエリとかが表立って見えないから杜撰な受け渡ししてるアプリ多そうだな。／iOS9から他アプリ間のスキーマアクセスが宣言した宛先しか出来なくなるのはこれ対策か？

[airj12]

でもちゃんと審査したアプリしかないから大丈夫ですよね(棒 / 崎村さん解説読んだら思ってたより怖かった http://www.sakimura.org/2015/06/3100/

[richard_raw]

「根本的な原因は、アプリ間およびアプリとOSとの間の認証が欠如していることに起因すると論文では解説」設計段階で脆弱だったのか……。

[bouzuya]

この脆弱性は簡単には修正できない

[seckie]

from Pocket June 18, 2015 at 10:02AM via IFTTT

[baccho10]

キーチェインから盗まれることもある　⇒OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告

[a2de]

昔windows、今iOS

[iqm]

お役立ち情報だ

[Mint0A0yama]

“Apple Storesに承認され、サンドボックス化されている悪質アプリを使って、他のアプリの重要データに不正アクセスできてしまう” 当面は『悪質アプリ』をインストールしないことに注意を向けるしかないってことか

[k_oshima]

Keychainは便利そうなのに

[KoshianX]

Apple側のコメント待ちかなー。

[oscdis765]

https://sites.google.com/site/xaraflaws/

[kattton]

ゼロデイ？防御策も回避策も無しなの、ツラいな。apple頑張れ。

[kuzu_masato]

パソコンやスマホにパスワード保存させてない俺、勝ち組。なんて言ってる場合じゃない。かなり重大な脆弱性。ご注意を！

[auient]

XARAはザラって読むのかしらん

[surume000]

“XARA”

[daybeforeyesterday]

うーむ

[matsu_chara]

やばそう(´･_･`)

[estragon]

あら、対応策なしですか。怪しいアプリはインストールしないこと？

[mapiro]

"アプリ間およびアプリとOSとの間の認証が欠如していることに起因すると論文では解説し、この問題を突く攻撃を「クロスアプリリソースアクセス攻撃」（XARA）と命名した"

[teracy_junk]

『「クロスアプリリソースアクセス攻撃」（XARA）と命名した』

[kutakutatriangle]

ヤバげ。

[takeishi]

故意に悪意の有るアプリがストア登録されちゃう（または何らかの方法でインストールされる）とやばい

[naohiko7]

「OS XとiOSに情報漏えいの脆弱性、米中研究者が...」（気になる記事。利用者側対策も書かれていない。iCloudキーチェーンをOFFにすれば良いのか？）

[ir_takt]

終わってる

[Nkzn]

結構やばそうなやつだ

[minonet]

OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告 研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという

[ka-ka_xyz]

実装レベルじゃなくて設計レベルでヤバげ。

[mellow-mikan]

パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがある

[siteworkers]

なるほど