証明書を検証しないモバイルアプリ、半年の調査で約2万2000個を発見
SSLサーバー証明書の検証に欠陥のあるモバイルアプリが多数発見されている。2014年8月からAndroidアプリを対象に大規模な調査を実施中の米CERT/CCは、2015年1月20日までに約2万2000個の欠陥アプリを見つけた。こうした欠陥アプリを使用すると重要な情報を盗み取られる恐れがあるため注意が必要だ。 SSL/TLS通信では「サーバー証明書」を使って接続先サーバーの正当性を検証する。これは「サーバー証明書が信頼できる認証局から発行されたものか」「サーバー証明書に記載されているサーバーのホスト名と現在接続中のホスト名が一致しているか」をクライアントがチェックすることで成立する。 しかしモバイルアプリの中には、このチェックを不完全に実施、あるいは全く実施しないものがある。そうしたアプリは、何らかの原因で不正なサーバーに接続した場合にも、それをユーザーに警告できない。そのため、偽サイトに
非公認アプリへのID・パスの入力で被害か、IPA
独立行政法人の情報処理推進機構(IPA)では毎月、情報セキュリティについての呼びかけをサイト上で公開している。2014年9月の呼びかけでは、App StoreやGoogle Playのような公式マーケットで非公認のスマホアプリに対し、不用意にIDやパスワードなどのアカウント情報を登録しないように注意喚起している。 ゲームアプリの権利が奪われる事件の概要 きっかけは先月に発生した事件。App Store上でゲームアプリを公開していた作者がその所有権を不正に奪われてしまうというものだ。この作者は、アップルが提供する開発者支援の公認アプリ「iTunes Connect」に加え、アップルではない第三者が提供する非公認の売上管理アプリを利用していた。 ともに、アップルのサイトへの接続時にApple IDとパスワードの情報が求められたが、非公認の売上管理アプリの運営者に悪意があったもよう。同アプリに登
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
