インディアナ大学、ジョージア工科大学、中国の北京大学の研究者らが先週公表したクロスアプリケーションリソース攻撃(XARA)は、悪質なアプリをブロックしてアプリデータを保護するためにAppleがMac App Storeでサーバー側の修正をリリースしたことにより、部分的に対処されたようだ。
同社広報担当者はiMoreに対し、iOSとOS Xの両方におけるXARAエクスプロイトに対する追加修正が進行中であると語った。XARAエクスプロイトにより、悪意のあるアプリはユーザーのiCloud認証情報を盗み、1PasswordやEvernoteなどのアプリの個人データにアクセスし、iCloudキーチェーンのパスワードを乗っ取るなどが可能になる。
Appleの広報担当者は、「今週初めに、アプリデータを保護し、サンドボックス設定に問題のあるアプリをMac App Storeからブロックするサーバー側アプリセキュリティアップデートを実装しました」と述べた。「現在、追加の修正作業を進めており、研究者と協力して論文の主張を調査中です。」
「Mac OS X および iOS における不正なアプリ間リソースアクセス」と題された 13 ページの研究論文では、キーチェーンのアクセス制御リスト、URL スキーム、および OS X のアプリ コンテナのゼロデイ脆弱性から生じるこれらのエクスプロイトに関する詳細な情報を提供しています。
Mac App Store の欠陥を修正すれば、悪質なアプリが App Store のセキュリティチェックを回避したり、アプリのサンドボックスを破壊したりすることができなくなりますが、他の脆弱性にパッチを適用するには、OS X と iOS がアプリと対話する方法に大幅なアーキテクチャの変更が必要になると考えられています。
これらの影響の大きいセキュリティ上の脆弱性に対する完全な修正が提供されるまで、知らない信頼できない開発者からのソフトウェアのダウンロードは避けることをお勧めします。
OS Xでは、「システム環境設定」を開き、「セキュリティとプライバシー」パネルの「一般」タブで、「Mac App Storeと確認済みの開発元からのアプリ」の横にあるボックスにチェックを入れます。これにより、不明なソースからの署名のないアプリのインストールが防止されます。
出典: iMore
