パスワードを忘れた? アカウント作成
190716 story
アップル

iPhoneで不正な設定ファイルを「信頼できる設定ファイル」に偽装できる脆弱性が発覚 12

ストーリー by hylom
※Verisignが悪いわけではない 部門より

TechCrunchで、「とてもいやらしくて厄介なセキュリティの欠陥がiPhoneに見つかった」という記事が公開されている。元ネタはブログ「Cryptopath」の記事

iPhoneには、各種設定が記述された「プロファイル」というファイルをメールやWebブラウザ経由で読み込む機能が備えられている。これは、ネットワーク設定などを多数のユーザーに対して簡単に配布・適用するための機能だ。通常プロファイルには発行元や認証情報などが含まれており、これにより出元がうさん臭かったり、署名情報がないプロファイルを検証できるのだが、今回発見された脆弱性を利用することで、発行元を偽装したり、実際には認証されていないにも関わらず「認証済み」との旨の表示をさせることができてしまうという。

詳しい手法はCryptopathの記事にて説明されているが、適当なメールアドレスを用いて「Apple Computer」という名称でVerisignから6日間有効のデモ用認証ファイルを取得し、それを使ってプロファイルを作成したところ、「Apple Computer」名義で認証されたプロファイルを作成でき、また有効なものとして利用できてしまったとのこと。

これを悪用することで、ユーザーを騙してiPhoneにプロファイルをダウンロード/適用させる、といったことが行われる可能性がある。iPhoneユーザーは注意してほしい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hornet01 (30476) on 2010年02月06日 16時08分 (#1714722) 日記

    >適当なメールアドレスを用いて「Apple Computer」という名称でVerisignから6日間有効のデモ用認証ファイルを取得し

     Verisignて、適当なメールアドレスで認証フィルを発行するんですか。それでは、証明書の信頼性に関わると思うんですが。
     「Apple Computer」という名称は、iMacやiPhoneを売っている「Apple inc.」とは違うので、詐称にはならないから良いんですかね。それでも、申請者のチェックは行わないと問題だと思うんですが、デモ用だと確認せずに発行するのだろうか。

     これだと、Verisignの証明書が信用できないという結論になりそうなのですが。
     なにか勘違いしているのでしょうか。

    • by Anonymous Coward on 2010年02月06日 17時47分 (#1714749)

      実在証明を行わない証明書の仕様です。問題なのは、そんな証明書に書かれている名前をセキュリティ上重要な判断に使っているアップルであって、VeriSignが発行している証明書ではありません。
      SSLの場合はドメインの所有者でないと受け取れないメールアドレスを指定したり電話をかけたりすることによって確認を行いますが、それ以上のチェックは通常行われません。行うものがEV SSLですが、保証しているのは証明書に書かれている組織が確かに存在することであって、確かに存在する詐欺会社かどうかまでは関知しません。

      親コメント
      • by ticky (17030) on 2010年02月06日 21時26分 (#1714796) 日記

        この話しだしたら、
        Webの証明書の信頼性の話になってしまいます。

        セキュリティ上重要な判断、例えば、オンライン決済だろうとPhissingだろうと同じように使え、
        一般人を騙せてしまうので、
        Appleに限らない気がします。

        iPhoneのProfileの場合は、
        実際Profileでどこまでできるか私は知りませんが、
        手元でProfile生成することで、パスワードをセキュアにしてたりしますし、
        多くの企業等が便利に使ってると思います。

        実際、BB mobile pointの設定をSoftbankが配布していたりします。

        Appleに可能な対処は、
        Profileのインストール手続きの際に適切な警告を出すことと、
        証明書の確からしさの提示、日付を確認することによるデモ証明書の検知、ブラックリストの利用くらいでしょうか。

        結局、webブラウザ等でも、どこまで適切にユーザに警告を出すか、ということになると思います。

        親コメント
        • by TameShiniTotta (19794) on 2010年02月06日 23時07分 (#1714814)

          元コメをちゃんと読めば分かると思うが、
          今回の問題点は

          「実在証明を行わない(行えない)証明書を信用してしまうこと」

          が問題なのであって、
          実在証明を行う正規の証明書のみを信用するようになっていない、
          Appleのセキュリティに対する考え方の甘さが問題なんだけど…。

          もちろんPCみたいに何でもホイホイ入れられる(JB後のような)ものなら分かるけど、
          基本的にAppleの審査抜きでアプリを導入できない状況では、
          この仕様は甘すぎると言うよりもセキュリティ意識なさすぎと判断せざるを得ないかと。

          親コメント
        • by Anonymous Coward

          ですから、SSLの証明書は通常組織名をユーザーに(目立つ形で)提示しません。ドメイン名のみを提示します。
          Opera 8.0が、証明書の組織名をアドレスバーに表示する仕様を導入したことがあったのですが、今回の脆弱性とまったく同じように有名な会社と同名の証明書を取得してそれをアドレスバーに表示するデモが登場しました。その結果Operaの仕様は脆弱性とみなされ、8.0.1で撤回されました。その後、もっとちゃんと組織の実在証明を行った証明書のみ組織名を表示しようという流れから、EV SSLが誕生したのです。

      • by hornet01 (30476) on 2010年02月06日 18時03分 (#1714753) 日記

        なるほど。そういう問題だったのですか。
        それならば、アップルが承認した証明書以外は認めないようにしてしまえば解決しそうですね。

        少なくとも、「プロファイル」について、アップルがサインした物以外はインストール出来ないようにしてしまえば脆弱性はなくなるということですよね。

        親コメント
  • by Anonymous Coward on 2010年02月06日 6時08分 (#1714597)
    しばらく前に偽の設定ファイルを食わせることでSIM関連の制限をどうのこうのするって話が有ったけどそれの事であれば
    「iPhoneユーザーは注意してほしい。」
    ってのは変な気がするんだけれど。

    別の話?
    • by Anonymous Coward on 2010年02月06日 13時01分 (#1714674)
      改変プロフィルでテザリング有効にする方法があったのですが、OS3.1で署名必須になったため、JBなしで利用する事はできなくなりました。
      もしも署名を誤魔化せるなら再びJB無しでテザリングができるようになるかも。
      親コメント
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...