アップル「iOS」に深刻なバグ iPhoneからカードなど個人情報盗まれる恐れ
http://www.j-cast.com/2014/02/24197539.html?igred=on
米アップルの「アイフォーン(iPhone)」「アイパッド(iPad)」に搭載されている基本ソフト「iOS」に、深刻なバグが見つかった。
対策を施さず放置したままだと、悪意のある第三者の侵入を受けてクレジットカード番号などの重要な個人情報を盗まれる恐れがある。
暗号技術の専門家「実にひどい」と嘆く
アップルが2014年2月21日に発表したiOS向けのセキュリティー更新情報には、「ネットワーク上で特権的な地位にある攻撃者が、SSL/TLSで保護されたセッションでやり取りされたデータを取得、改ざんする恐れがある」との説明がある。「SSL/TLS」とは、ウェブのアクセスでやり取りするデータを暗号化する技術で、第三者から自分のデータを盗み見られるのを防ぐ。
速やかにiOSを更新しないと、とんでもない被害に合う恐れがある。米誌「ワイヤード」電子版2月22日付の記事によると、例えばレストランや喫茶店で提供される無料の無線LANを経由してメールの送受信や、フェイスブックやツイッターといった交流サイト(SNS)への接続、ネット上で銀行取引をした場合、攻撃者が通信内容を傍受し、知らないうちに自分のフェイスブックアカウントや銀行口座情報を抜き取られるかもしれない。
以下略
急げアプデ! 今回のアップルの脆弱性はかなりやばいぞ
http://www.gizmodo.jp/2014/02/ssl.html
一部抜粋
で、そんなに怖いものなの?
ここまで読んでもまだホエ~な人にこの事の重大さをわかってもらうには一体どう説明したらいいものやらですが…問題の本質をよく知る開発者の間でもこの件はあんまりオープンに語りたくない雰囲気なんですよね…あんまり騒ぐと今まで以上にハッカーが喜んでたかってくるから。
I'm not going to talk details about the Apple bug except to say the following. It is seriously exploitable and not yet under control.
— Matthew Green (@matthew_d_green) 2014, 2月 21
「アップルのバグについて詳しいことは書けないけど、かなりやばくて、まだふさがってないよ」
Ok, yes, the iOS/OS X bug does break SSL completely. Like @matthew_d_green I'm going to keep quiet. Patch quickly.
— Adam Langley (@agl__) 2014, 2月 22
「はい、そう。iOS/OS XのバグでSSLは完全に破られる。@matthew_d_greenと同じで、僕もあんまり騒がないでおくよ。パッチ急いでね」
Dear everyone: do *not* use Safari until Apple patches their SSL code in Mac OS X. Man-in-the-middle exploits are already in the wild.
— Nick Sullivan (@grittygrease) 2014, 2月 22
「みなさんどうも。SafariはアップルがMac OS XのSSLコード修正するまで*使うな*。MitM攻撃が既に横行中だ」
.@grittygrease @csoghoian It's not just Safari — using any Mail.app, iCal, or any service that relies on TLS on the iPhone/Mac is vulnerable
— ashkan soltani (@ashk4n) 2014, 2月 22
「Safariだけじゃない。Mail.appもiCalも、他のiPhone/MacのTLS使ってるサービスは全部やられる」
このジョンズ・ホプキンス大学のマシュー・グリーン(Matthew Green)暗号学教授はロイターにも、「創造しうる最悪のシナリオだ、ということしか自分の口からは言えない」と語っていますよ。もうおそろし過ぎて口にするのも憚られる状態。
以下略
SSLとは 【 Secure Sockets Layer 】 - 意味/解説/説明/定義 : IT用語辞典
インターネットなどのTCP/IPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。
今回のバグはヤバすぎて開発者も口を閉ざすレベル
iPhoneとiPadを急いでアプデしとけ!
龍が如く 維新! 予約特典 サウンドラックCD&プロダクトコード付
PlayStation 4
セガ
売り上げランキング : 11
Amazonで詳しく見る
劇場版 機動戦士ガンダム Blu-ray トリロジーボックス プレミアムエディション
古谷徹,鈴置洋孝,飯塚昭三
バンダイビジュアル 2014-05-28
売り上げランキング : 3
Amazonで詳しく見る
はちま起稿 月間1億2000万回読まれるまとめブロガーの素顔とノウハウ
清水 鉄平
SBクリエイティブ 2014-03-12
売り上げランキング : 151164
Amazonで詳しく見る
OSXはまだ未対応だが、フリーのwifiにでも繋がない限り大丈夫
SONYアンチそっ閉じww
韓国にアイフォンの工場なんてあったのか?
問題だったのは最新のios7みたいだったけど
柄ケーのおれ大勝利。
てか皆そうだろ?
iPhone厨怒りの顔面林檎レッドwwww
ほんとほんと
どのバージョンだかわかんねぇだろが
バカじゃないのこの記事
これって最新ですか?
iOS6つかってるやつもだぞー
新しいiPhoneにするまでは6のままがいいよね
6以降はアウトくさい。だからほとんどじゃない?
対策済みのiOS7にとっととアプデしろ言ってたじゃないですかー!
SSLに穴があるから情報抜きまくりwww
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail; ←アカン!!
...
return success;
fail:
オンボロイドはキモいオタクが使ってるイメージ
これ…酷くね?ww
ITの新入社員研修レベルだろ
Ifの処理部の外に余計なgoto埋め込んだってことか?
強制的に飛んで認証されないと
それ普通車は軽四より安全って言ってるのと同じだからw
死ぬ時は普通車でも死ぬだろ?
本社を愛知県一宮市松降一丁目の自社所有ビルへ移転同時に「ぶどうさん創庫」・「りふぁーむ創庫」も移転愛知県一宮市花池 前本社の変態部門を「へんたい創庫本店」としてリニューアルスタート
「突然アプデ」とはどういうこと?
そんなんだからこんな初歩的且つ深刻な問題を半年放置なんてやらかすんだよ。
いっつも馬鹿にしてるMSとGoogleの方がよっぽど対策に力入れてるよ
プログラムわからんのでこのgoto命令で何が起きるか教えてくだしあ
すばせか出来るのiosだけなんだけどななんで泥で出ないんだ?
てかxperiazultra神過ぎるatokとの相性がいい
iPhoneは外も中も林檎が取り仕切ってて統一されてるけど、Androidはメーカーによってスペックも様々。家庭用ゲーム機とPCみたいなもん。
作り込んだりユーザビリティの面ではAndroidの方が上なんだけど、ほら、国内のデベロッパーは滅多にPCゲー出してなくて、各スペックや環境でのテスト面倒臭がってるから…
でもスマホげメジャーのスクエニだぜ
クアルコムクアッドコア限定とかにすればいいのに
2コアのiphone4でもできたが
それが普通。
漏れたらそこら中からアタックがはじまる。
認証スキップ
はちまで知りたくねーよw
だがiOS7とかいうのはGUI自体が重大で致命的なバグだから
俺はまだ6のままでいいよ
脱獄すればいいんだな
公式がくそなんだもの
OSアプデしないんだし、自分の身は自分で守ろう
実は6もそのバグ抱えているみたいです。だって6も改良verだしていますから。どうも6.0~7.05までが範囲っぽいです。
5はどうかはわかりません。
この場合、対策できるまで黙っているのは当たり前
さもないと公表した途端に攻撃が横行して大惨事になる。
SONYの二の舞にだけはなりたくないよ〜〜〜!!!
そこまで人間が清く正しく出来てたら戦争もなんもおこらねえよwww
こんなんFUDだよFUDwwwww
ちなみに俺は5.1.1で止めてるけどこれの脆弱性はもう直してくれないんだよな
Androidはそうはいかない
リンゴの凄いところってスペックがある程度統一されてるってとこだけだよ
by 元あいぽた使用者
ゴミ
脱獄&脆弱性修復パッチ
エラーの場合ssl使わずにデータ流すんじゃね?
ジョブズのクズ方針がイヤで技術者が逃げまくったアップルはパクリOS「MacOS 10」以降バグだらけだな・・・
まだiOSのバッテリーバグも治っていないし
iOSの最新版が安全だといつから錯覚していた?
って感じだなー。更新しても全部は直ってないのかね。
iOS5以下は6以上と別の内製SSLライブラリを使ってるとかなら話は別だけど
>>102
Note the two goto fail lines in a row. The first one is correctly bound to the if statement but the second, despite the indentation, isn't conditional at all. The code will always jump to the end from that second goto, err will contain a successful value because the SHA1 update operation was successful and so the signature verification will never fail.
2番目のif文を抜けた状態(err == 0)でgotoしてそのままerrを返すので常に認証が成功する
関数名はSSLVerifySignedServerKeyExchangeなので、要するにサーバー認証が常に成功するってこと
「サルでもわかるTPP」「日本分断工作スレを報告するスレ」で検索
泥を叩く暇なしww
実は暗号化されていなくて、それを傍受すれば通信内容が判るってのが正解だよね?
それとも無理やり通してるの?マジでiOSやばくね?
安全性()
大体こういう場合、ユーザー側のメリットではなく企業側のメリットにしかならないことが多い。
うぁあああああああああああ!
マジで超マズいコードじゃないか!
必ず失敗判定………
そんなに取り繕っても無駄だから。
結局は、やはり信者が言う程MacもiPhoneも良い物じゃない。
信者が選民思想バリバリでうざいから。
で、連中が言う程の良い代物ではない。
悪いかと言われたら悪くは無いが、
それでも人様を非難出来る謂われは無い。
apple製品は完璧ではない。
apple製品がウイルスに強いと言うのもデマ。
他製品と等しく危険性は有る。
無防備では済まない。
Macもマイナーだから助かっている面が有る。
apple独占させると、MS同様にろくな事しない。