【Appleにセキュリティ技術なし】iMessage、FaceTimeに脆弱性。ID、パスワードが暗号化されず傍受可能

1 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 10:50:10.06 ID:???.net

解読不可能のはずの「iMessage」が実は解読可能でIDやパスワードも読めることが判明
http://gigazine.net/news/20131018-apple-can-read-imessage/

エドワード・スノーデン氏によって暴露されたNSAのスパイ行為事件において、
Appleから「通信は暗号化されているのでAppleを含む第三者が通信内容を知ることは不可能」と
されていたiMessageやFaceTimeが実はApple自身によって解読可能だったことが判明しました。

さらに、第三者が通信を傍受することで、MITM攻撃(中間者攻撃)を可能にする危険も含まれており、
Appleが以前から公言してきた「iMessageやFaceTimeの通信には『エンド・トゥ・エンド』の暗号化を
行っているので、受信者と送信者以外は内容を見ることはできない」とする説明に相反するものになっています。

レポートでは「Appleの通信は、すべてSSLのトンネルを通っている」として安全性の高さを認めつつ、
公開鍵を操作して中間者攻撃を試したところ、成功してしまったとのこと。これは、公開鍵の
ピン留め(ピンニング)が行われていないことを意味します。そこで次に偽造のCA(認証局)を作成したところ、
いとも簡単に暗号の解読ができてしまったとのことでした。

それ以上に驚きだったのは、SSL通信の中でありながら、AppleIDとパスワードが見えていたこと。
つまり、暗号化されていないプレーンテキストでデータが送られていたことが明らかになりました。
Appleがその情報を入手して他に流用する可能性は低いとしても、この手法を使えば第三者が
他人のIDとパスワードを入手できてしまうという状況となっているのです。

2 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 12:36:03.17 ID:???.net

そうね。
SSLプロキシ通すと見えるだろうね。でもそれってiMessageとかの問題ではない。そもそもSSLでパスワードをそのまま流すのは間違っている。ダイジェスト認証とかで中間者攻撃されても分からないようにしないとね。

3 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 12:55:00.07 ID:???.net

FaceTimeオーディオが地味に
便利なのだが、これもヤバいの？

4 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 13:51:30.28 ID:???.net

>>3
まあ、普通は解読出来ないから安心していいよ。でも例えばFacetime Audio使えますみたいなアプリだとパスワードが抜かれる可能性はある、けどそんなアプリはそもそもAppStoreに出せないから、やはり安心して良いと思う。

5 ：名無しさん＠お腹いっぱい。：2013/10/19(土) 14:08:45.07 ID:???.net

httpsでBASIC認証のwebサイト憤死？

6 ：名無しさん＠お腹いっぱい。：2013/10/20(日) 16:15:43.13 ID:jg7GQOF9.net

SSLを使っていても偽認証局を通しては意味がない
Androidも2.xの時だったか、何かSSLの脆弱性があったな

でもMITM攻撃自体そんな会わないから心配しすぎる事は無いんじゃない？

7 ：名無しさん＠お腹いっぱい。：2013/10/20(日) 16:23:33.68 ID:jg7GQOF9.net

え？AppleIDとパスワードは平文？
Androidを馬鹿にしていられないお粗末さだろ

8 ：名無しさん＠お腹いっぱい。：2013/10/20(日) 16:40:28.41 ID:???.net

アメリカがデフォルトしたらiPhoneにクレカ登録した奴は身に覚えのない請求が全力で……








そんな妄想が頭をよぎった(笑)

9 ：名無しさん＠お腹いっぱい。：2013/10/20(日) 18:40:31.24 ID:???.net

というか、このシステムで偽造CAを作成しても、解読出来ない暗号を教えてくれ。

10 ：名無しさん＠お腹いっぱい。：2013/10/20(日) 18:41:54.95 ID:???.net

そもそも普通は偽造CAを作成できません。

11 ：名無しさん＠お腹いっぱい。：2013/10/24(木) 07:34:11.61 ID:???.net

>>4
apple製ソフトを、自社基準で検査してると思う？

12 ：名無しさん＠お腹いっぱい。：2013/10/26(土) 04:09:44.89 ID:+a1YZ3T5.net

フィッシングのメールはアップルの自演です。
情報流出させたことのカモフラージュです。

13 ：名無しさん＠お腹いっぱい。：2013/11/13(水) 16:53:24.78 ID:???.net

iMessageとMMSってどっちが安全？

14 ：名無しさん＠お腹いっぱい。：2013/11/30(土) 06:09:52.76 ID:???.net

>>11
おそらくあなたの読解力が足りてない

15 ：南沢木綿子 ◆fykOq0Xi5kxW ：2014/07/19(土) 08:46:25.69 ID:???.net

　　∧,,,∧　
　( 　・∀・)　ほー　それで
　 (　　：　)　
　　し─J

16 ：名無しさん＠お腹いっぱい。：2014/09/01(月) 14:34:33.91 ID:???.net

エロメールが届く

17 ：名無しさん＠お腹いっぱい。：2014/12/18(木) 14:34:50.34 ID:???.net

w

18 ：名無しさん＠お腹いっぱい。：2015/01/20(火) 19:52:59.80 ID:???.net

w

19 ：名無しさん＠お腹いっぱい。：2015/02/04(水) 21:44:06.50 ID:???.net

w

20 ：名無しさん＠お腹いっぱい。：2015/03/31(火) 12:44:49.63 ID:???.net

w

21 ：名無しさん＠お腹いっぱい。：2015/07/05(日) 15:15:05.88 ID:tqS9B17S.net

OS XとiOSに情報漏えいの脆弱性、米中研究者が緊急警告

研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。

http://www.itmedia.co.jp/news/articles/1506/18/news053.html

22 ：名無しさん＠お腹いっぱい。：2015/09/25(金) 17:04:26.83 ID:YlypkBqL.net

米Appleのソフトウェア開発ツールを改ざんした「XcodeGhost」が中国で出回り、マルウェアに感染したiOSアプリがApp Storeで配信されていたことが分かった。
http://www.itmedia.co.jp/enterprise/articles/1509/24/news060.html

23 ：あぼーん：あぼーん

あぼーん

24 ：名無しさん＠お腹いっぱい。：2016/01/19(火) 18:46:59.60 ID:+NN5zkmq.net

セキュリティ研究者が「Gatekeeperの完全な失敗」を指摘する発表を行った。
http://www.itmedia.co.jp/enterprise/articles/1601/19/news054.html

25 ：名無しさん＠お腹いっぱい。：2020/03/07(土) 22:33:37.34

ジョブズ「おいお前ネットで俺のこと馬鹿にしたろ?」