不正なSSL証明書のチェックをしないモバイルアプリにご注意を
2014年2月14日 23:07
SSLで利用される証明書には通常認証局の署名が入っており、それをチェックすることで接続先の組織などを確認できる仕組みになっている。Webブラウザの場合は不正な証明書が使われている場合に警告が表示され、これにより不正なサイトへの接続を知ることができるほか、通信経路に第三者が介入してその内容を傍受する「man-in-the-middle-attack」(中間者攻撃)などを防ぐことができる。しかし、モバイル向けの専用アプリなどで、このような証明書のチェックが行われていない例が多いという(ITmedia)。
テキサス大学オースティン校およびスタンフォード大学の研究者らによる研究(PDF)によると、Amazon EC2のJavaライブラリやAmazonおよびPayPalのSDK、ECサイト構築ソフトウェア、モバイル向けの広告コードなどで、証明書が正しく検証されていない例が確認されたという。また、iOS向けのネットバンキングアプリの40%で、証明書の検証に不備があるとも述べられている(Netcraft)。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
FBIとNSA、インターネット企業にSSLのマスター暗号化キーを要求 2013年07月27日
トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 2013年01月09日
Google、Gmail の POP3 フェッチ機能でオレオレ証明書を拒否する仕様に 2012年12月19日