2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【Appleにセキュリティ技術なし】iMessage、FaceTimeに脆弱性。ID、パスワードが暗号化されず傍受可能

1 :名無しさん@お腹いっぱい。:2013/10/19(土) 10:50:10.06 ID:???
解読不可能のはずの「iMessage」が実は解読可能でIDやパスワードも読めることが判明
http://gigazine.net/news/20131018-apple-can-read-imessage/

エドワード・スノーデン氏によって暴露されたNSAのスパイ行為事件において、
Appleから「通信は暗号化されているのでAppleを含む第三者が通信内容を知ることは不可能」と
されていたiMessageやFaceTimeが実はApple自身によって解読可能だったことが判明しました。

さらに、第三者が通信を傍受することで、MITM攻撃(中間者攻撃)を可能にする危険も含まれており、
Appleが以前から公言してきた「iMessageやFaceTimeの通信には『エンド・トゥ・エンド』の暗号化を
行っているので、受信者と送信者以外は内容を見ることはできない」とする説明に相反するものになっています。

レポートでは「Appleの通信は、すべてSSLのトンネルを通っている」として安全性の高さを認めつつ、
公開鍵を操作して中間者攻撃を試したところ、成功してしまったとのこと。これは、公開鍵の
ピン留め(ピンニング)が行われていないことを意味します。そこで次に偽造のCA(認証局)を作成したところ、
いとも簡単に暗号の解読ができてしまったとのことでした。

それ以上に驚きだったのは、SSL通信の中でありながら、AppleIDとパスワードが見えていたこと。
つまり、暗号化されていないプレーンテキストでデータが送られていたことが明らかになりました。
Appleがその情報を入手して他に流用する可能性は低いとしても、この手法を使えば第三者が
他人のIDとパスワードを入手できてしまうという状況となっているのです。

2 :名無しさん@お腹いっぱい。:2013/10/19(土) 12:36:03.17 ID:???
そうね。
SSLプロキシ通すと見えるだろうね。でもそれってiMessageとかの問題ではない。そもそもSSLでパスワードをそのまま流すのは間違っている。ダイジェスト認証とかで中間者攻撃されても分からないようにしないとね。

3 :名無しさん@お腹いっぱい。:2013/10/19(土) 12:55:00.07 ID:???
FaceTimeオーディオが地味に
便利なのだが、これもヤバいの?

4 :名無しさん@お腹いっぱい。:2013/10/19(土) 13:51:30.28 ID:???
>>3
まあ、普通は解読出来ないから安心していいよ。でも例えばFacetime Audio使えますみたいなアプリだとパスワードが抜かれる可能性はある、けどそんなアプリはそもそもAppStoreに出せないから、やはり安心して良いと思う。

5 :名無しさん@お腹いっぱい。:2013/10/19(土) 14:08:45.07 ID:???
httpsでBASIC認証のwebサイト憤死?

6 :名無しさん@お腹いっぱい。:2013/10/20(日) 16:15:43.13 ID:jg7GQOF9
SSLを使っていても偽認証局を通しては意味がない
Androidも2.xの時だったか、何かSSLの脆弱性があったな

でもMITM攻撃自体そんな会わないから心配しすぎる事は無いんじゃない?

7 :名無しさん@お腹いっぱい。:2013/10/20(日) 16:23:33.68 ID:jg7GQOF9
え?AppleIDとパスワードは平文?
Androidを馬鹿にしていられないお粗末さだろ

8 :名無しさん@お腹いっぱい。:2013/10/20(日) 16:40:28.41 ID:???
アメリカがデフォルトしたらiPhoneにクレカ登録した奴は身に覚えのない請求が全力で……








そんな妄想が頭をよぎった(笑)

9 :名無しさん@お腹いっぱい。:2013/10/20(日) 18:40:31.24 ID:???
というか、このシステムで偽造CAを作成しても、解読出来ない暗号を教えてくれ。

10 :名無しさん@お腹いっぱい。:2013/10/20(日) 18:41:54.95 ID:???
そもそも普通は偽造CAを作成できません。

11 :名無しさん@お腹いっぱい。:2013/10/24(木) 07:34:11.61 ID:???
>>4
apple製ソフトを、自社基準で検査してると思う?

12 :名無しさん@お腹いっぱい。:2013/10/26(土) 04:09:44.89 ID:+a1YZ3T5
フィッシングのメールはアップルの自演です。
情報流出させたことのカモフラージュです。

13 :名無しさん@お腹いっぱい。:2013/11/13(水) 16:53:24.78 ID:???
iMessageとMMSってどっちが安全?

14 :名無しさん@お腹いっぱい。:2013/11/30(土) 06:09:52.76 ID:???
>>11
おそらくあなたの読解力が足りてない

15 :名無しさん@お腹いっぱい。:2014/06/27(金) 05:55:04.73 ID:???
w

5 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)