2017/09/13

iOS のゼロデイ脆弱性「Leaky X」 – デイリーセキュリティバイト

iPhone MAC apple iOS パッチ
2017 年 9 月 13 日 Corey Nachreiner 著

オープン Wi-Fi ネットワークで iPhone から Exchange メールをチェックすると、そのネットワークの全ユーザに自分の Exchange 認証情報を知られてしまう恐れがあるようです。James Litwin と名乗る研究者が、「Leaky X」と自らが命名した、iOS の新たな脆弱性を公開しました。Litwin 氏によると、iOS のメールアプリケーションでは、TCP/IP のハンドシェイク時(SSL 暗号化が実行される前)に暗号化されていない認証情報が Exchange サーバに送信されます。これは、「中間者」によって、iOS トラフィックから Exchange 認証情報(一般的には、Windows ドメイン認証情報と同じ)を不正取得されてしまう可能性があることを意味します。以下のビデオで紹介をご確認いただけますが、現段階ではパッチが公開されていないことを併せてお知らせしておきます。

追加情報:YouTube のある視聴者が、この脆弱性が iOS メールアプリケーションに関するものであるならば、スタンドアロンの iOS の Outlook アプリケーションには脆弱性は存在しないのではないかとコメントしています。Litwin 氏は、Outlook アプリケーションには言及しておらず、私自身もこのアプリケーションにも脆弱性が存在するかどうかを確認していません。ただし、このコメントが正しいとすれば、Apple からパッチが公開されるまでの間、Outlook の使用が有効な回避策となるでしょう。

エピソードビデオの長さ: 3:32

YouTube へのダイレクトリンク:https://www.youtube.com/watch?v=J17p8aSU2uw

Corey Nachreiner, CISSP@SecAdept