1:2014/02/24(月) 20:10:09.01 P ID:
米アップルの「アイフォーン(iPhone)」「アイパッド(iPad)」に搭載されている基本ソフト「iOS」に、深刻なバグが見つかった。

対策を施さず放置したままだと、悪意のある第三者の侵入を受けてクレジットカード番号などの重要な個人情報を盗まれる恐れがある。

暗号技術の専門家「実にひどい」と嘆く

アップルが2014年2月21日に発表したiOS向けのセキュリティー更新情報には、「ネットワーク上で特権的な地位にある攻撃者が、SSL/TLSで保護されたセッションでやり取りされたデータを取得、改ざんする恐れがある」
との説明がある。「SSL/TLS」とは、ウェブのアクセスでやり取りするデータを暗号化する技術で、第三者から自分のデータを盗み見られるのを防ぐ。

速やかにiOSを更新しないと、とんでもない被害に合う恐れがある。米誌「ワイヤード」電子版2月22日付の記事によると、例えばレストランや喫茶店で提供される無料の無線LANを経由してメールの送受信や、
フェイスブックやツイッターといった交流サイト(SNS)への接続、ネット上で銀行取引をした場合、攻撃者が通信内容を傍受し、知らないうちに自分のフェイスブックアカウントや銀行口座情報を抜き取られるかもしれない。

アップルは、不具合が発生した原因については言及していない。だが複数の海外メディアは、専門家の指摘をもとにプログラムの「単純ミス」ではないかと報じている。暗号に詳しい米ジョンズホプキンス大学のマシュー・グリーン教授は2月21日、
ツイッターでこうつぶやいた。

「よし、アップルのバグが何か分かったぞ。これはダメだ。実にひどい」

この時点でグリーン教授は原因の具体内容を示さなかったが、ほどなくしてワイヤードをはじめとするメディアや、テクノロジーのコミュニティーサイト「ハッカーニュース」が「種明かし」をした。
これらのサイトは、アップルが公開しているソースコードの一部を引用。そのうえで「誰にでもひと目で分かるエラー」として、「goto fail」というコードがひとつ余計に多く入っている個所を示した。
このせいで、本来は認証チェックをするべき部分に対して機能がはたらかず、何でも認証してしまうようになる。これでは怪しげなアクセスがあってもはじき出すことができない。データ漏れを防止するSSLは、役に立っていないというわけだ。

バグはコードの「コピペ」失敗が原因か

グリーン教授はその後ツイッターで、コードのエラーは「少なくとも2013年10月」には存在していた可能性を指摘。原因については、コードを書く際に他所からのコピーペーストを誤ったのではないかとの見方を示した。

ロイター通信によると、アップルは今回のバグについて、いつ、どのように知ったのか、実際に悪用された例はあるのかといった点は明らかにしていないという。サイト上では「接続認証を有効にするための、技術的に安全な通信ができない」
と説明しているが、これだけでは「(説明が)あいまい」と批判的だ。

いずれにしろ利用者は、早急な対応を迫られる。情報セキュリティー会社「カスペルスキー」は2月24日、サイト上でiOSについて「今すぐアップデートを」と呼びかけた。情報流出の危険性を回避するため、更新前はネットバンキングといった重要な通信を行わない、
更新時は「フリースポット」のような誰でもアクセスできる公共のサービスを利用せず、自宅のネットワークに接続するといった注意喚起をしている。

現行の「iOS7」は、2013年9月に配信が開始され、同月に発売された「iPhone 5s」をはじめ、iPadを含む複数の機種に対応する。「5s」では10月、画面が青一色の「ブルースクリーン」となって強制的に再起動する現象が複数報告された。
アプリのクラッシュも、従来モデルより多いともいわれる。いずれもiOSが直接の原因なのか、アップルの発表がないので何とも言えない。ただiOSの更新回数は2013年9月、10月、11月に続いて今回で4度目と、配信スタートから半年にしては多いように思える。
しかも今度は、情報通信の安全性やアップル製品の信頼性の根幹にかかわる重大な問題だけに、同社からの詳しい説明がほしいところだ。

ソース:So-net
http://news.so-net.ne.jp/article/detail/930747/?nv=c_cat_latest
10:2014/02/24(月) 20:25:58.66 0 ID:
>>1
誰だよセキュリティが高いって言ってた奴
26:2014/02/24(月) 21:53:30.25 P ID:
>>1
いい加減もう大丈夫だろうと思って、7にしちゃったわ
つーか、失敗で悪かったなw
55:2014/02/25(火) 12:56:42.31 0 ID:
>>1
>本来は認証チェックをするべき部分に対して機能がはたらかず、何でも認証してしまうようになる。これでは怪しげなアクセスがあってもはじき出すことができない。データ漏れを防止するSSLは、役に立っていないというわけだ

おいおい、シャレになんねーぞ
56:2014/02/25(火) 13:08:00.66 0 ID:
>>55
今までずっとそうだったんだからヘーキヘーキ!!
4:2014/02/24(月) 20:15:22.16 0 ID:
>SSLが役立たず

信じられん。。ダメどこの話じゃないだろ・・・
15:2014/02/24(月) 20:47:07.09 O ID:
一時期、アップルのセキュリティ最強ってCM流してたよね
その直後一気にセキュリティ最弱に落ちたけどね
18:2014/02/24(月) 20:58:05.63 0 ID:
sslなんか使わないから問題ない。
と、いつものように信者はおっしゃるのでしょうか。
21:2014/02/24(月) 21:15:12.09 0 ID:
goto使うとか素人だなwwwwww
37:2014/02/25(火) 02:39:20.31 0 ID:
>>21
goto文を馬鹿にするとはド素人だなwwwww
あれは適切な箇所で使うべきなんだよwwww
23:2014/02/24(月) 21:31:26.64 P ID:
嘘だ!
林檎信者はiPhoneこそ唯一の最高のセキュリティーがあるといってたぞ!
45:2014/02/25(火) 07:29:04.47 0 ID:
BlackBerry最強説
50:2014/02/25(火) 11:48:07.17 0 ID:
つまり無料wifiが見当たらない程の田舎にいる俺勝ち組と
53:2014/02/25(火) 12:32:01.66 0 ID:
日本では説明もなく、こっそりアップデートw
59:2014/02/25(火) 14:04:18.55 0 ID:
俺にはよく分からんが要は見ず知らずの奴に自分の通帳とアドレス帳を差し上げてると思えばいいのか?
60:2014/02/25(火) 14:08:34.79 0 ID:
>>59
ついでに拇印と実印とサインとクレジットカード番号と暗証番号もセットでよろしく。
61:2014/02/25(火) 14:14:26.69 0 ID:
玄関のドア全開にして見えるとこに実印、クレジットカード(裏に暗証番号付き)、通帳、スケジュール帳、アドレス帳を並べて置いてるの方が例えが良いか?
62:2014/02/25(火) 18:29:37.63 0 ID:
「家の鍵は開いてます。私事で1ヶ月留守にしますので留守番お願いします」
と張り紙して海外渡航
63:2014/02/25(火) 20:18:24.86 0 ID:


作者以外の人がコードレビューすれば一目でわかるこの程度のことが検出できてないってことは、
コードレビューしてないってことなので、低品質のシルシ
ってオフショア開発に関係する人は知っている
64:2014/02/25(火) 23:24:32.84 0 ID:
>>63
アチャーってミスだなぁ
65:2014/02/26(水) 01:16:17.71 0 ID:
>>63
判りやすいミスだなぁ…
俺はこういうのが怖いので、例え1命令しかなくても
if文などの実行文は{}で囲む様にしてる。(さもなければ
改行せずに一行にする。)
66:2014/02/26(水) 01:33:59.31 0 ID:
ifのネストが深くなるのを嫌ってgotoですか…
そしてその部分を何回も何回もコピペ…






 ❚  おすすめ記事 ρ(^ー^*)ρ