iOSアプリで使われるAFNetworkingに脆弱性。

「iOS」アプリの開発で広く利用されているネットワークライブラリの古いバージョンに、SSL（Secure Sockets Layer）で暗号化されているはずの通信内容を攻撃者によって傍受される脆弱性が発見された。この報告を受けたライブラリの開発者は脆弱性を修正した最新バージョンを公開したが、古いバージョンのライブラリを使用しているiOSアプリは、すべて脆弱性の影響を受ける可能性がある。研究チームによると、影響を受けるiOSアプリの数は2万5000件に及ぶという。
　発見された脆弱性は、iOSアプリの開発時に使用されるネットワークライブラリ「AFNetworking」の問題に起因している。この脆弱性を調査しているアプリ分析サービス企業SourceDNAの発表によると、古いバージョンのAFNetworkingでは、「validatesDomainName」フラグで有効化できるドメイン名の検証がデフォルトで無効になっていたという。また、このバージョンでドメイン名の検証を有効化するには証明書ピニングを有効化する必要があるが、証明書ピニングを有効化しているiOSアプリ開発者はごく少数であった。

「iOS」のネットワーキングライブラリに脆弱性--2万件を超えるアプリに影響か - ZDNet Japan