iOS端末の持ち主になりすまして攻撃できるクッキーの脆弱性が発覚、なんとAppleは2年半も放置

iOS最新版の「iOS 10」をAppleが2016年中に発表すると見込まれていますが、Safariのクッキーに関するiOSの脆弱性をAppleが2年半にわたって放置していたことが明らかになりました。

Shared Cookie Stores Bug Fixed in iOS 9.2.1 ≫
https://www.skycure.com/blog/shared-cookie-stores-bug-fixed-in-ios-9-2-1/

iOS cookie theft bug allowed hackers to impersonate users | Ars Technica
http://arstechnica.com/security/2016/01/ios-cookie-theft-bug-allowed-hackers-to-impersonate-users/

Appleは最新版iOS 9.2.1のセキュリティアップデートで「iOS端末のSafariで蓄積したクッキーに外部からアクセスできる脆弱性について、修正を行った」と発表しました。この脆弱性は、iOSでWi-Fiネットワークの初回接続時に使われるアプリ内ブラウザとSafariアプリ間でクッキーを共有する蓄積設定が原因と判明しています。

一般的に、Wi-Fi接続画面では「利用規約に同意する」や「認証する」といったボタンが用意されていて、タップすることでWi-Fiを利用できるようになります。セキュリティ企業のSkycureの発表によれば、このWi-Fi接続画面を悪用すれば、端末に保存されている全てのHTTPクッキーを外部から盗み取ることができる状態になっていたとのこと。

by Karlis Dambrans

Skycureの研究者は、クッキーの脆弱性を悪用することで以下のような攻撃が可能だったとしています。

・HTTPクッキーを盗み取り、ユーザーになりすまして各種サイトにアクセスする
・セッション固定攻撃を行い、ユーザーが各種サイトにアクセスした際に、ユーザー自身のアカウントではなく攻撃者のアカウントで強制的にログインする
・DNS偽装(キャッシュポイズニング)を行い、ユーザーがSafariを使ってインターネットに接続する度に、攻撃者が仕込んだ悪意のあるJavaScriptが実行されるようになる

なお、Skycureの研究者はこれらの問題について2013年6月にAppleに報告していましたが、Appleは約2年半後の2015年1月になってようやく修正を行いました。最新版iOS 9.2.1では、Wi-fi接続画面で使用するクッキーの保存場所が個別に切り離されているとのことで、SkycureはiOSユーザーに対して、早急にOSをアップデートするよう勧めています。