メモ_φ(･_･

iOSアプリのネットワーク接続管理に使われている代表的なライブラリ「AFNetworking」に脆弱性が発見され、多数のアプリで修正パッチが適用されないまま脆弱性が放置された状態になっているという。アプリ分析サービス企業のSourceDNAが4月20日のブログで伝えた。
それによると、AFNetworkingの脆弱性は不適切なSSL証明書チェックに起因するもので、中間者攻撃を仕掛けられてSSLをかわされ、アプリのユーザー認証情報や通信の内容を傍受される恐れがあるという。
この脆弱性は、2月上旬に公開されたバージョン2.5.1で生じ、3月下旬公開の2.5.2で修正された。この間に更新したアプリに脆弱性が存在する可能性がある。
AFNetworkingライブラリを使っているiOSアプリは10万本以上になる。SourceDNAが調べたところ、その中で脆弱性が生じてから修正されるまでの間に更新またはリリースされたアプリは約2万本あり、うち約5％に当たる1000本に脆弱性が存在していることが分かった。中には米Yahoo!やMicrosoft、Uber Technologies、Citrixといった大手のアプリも含まれていたという。

【更新あり】iOSのライブラリに脆弱性、大手アプリにも多数影響か - ITmedia エンタープライズ