TOPセキュリティ > 「iOS版Gmailアプリに脆弱性」、Googleは否定

セキュリティ

「iOS版Gmailアプリに脆弱性」、Googleは否定

2014/07/15

Antone Gonsalves CSO

 同社はメールによる声明で次のように述べている。「これはGmailアプリの脆弱性ではない。Lacoonが指摘したような状況となるには、ユーザーの明示的な行動が必要になる。具体的には、ユーザーのアプリにハッカーがアクセスできるようにするための悪質なルートCAを、ユーザー自身が意図的にインストールする必要がある」

 企業向けセキュリティ製品のテストを手がける米NSS LabsのCTO(最高技術責任者)John Pirc氏もGoogleの見解に同意し、攻撃者が何らかの手段で悪質な証明書のファイルをiPhone/iPadユーザーに送りつけ、言葉巧みにファイルを開けさせる必要があると指摘する。

 「ソーシャルエンジニアリングで、ユーザーがそうしたものをクリックする可能性は、かなり低いのではないかと私は思う」と同氏は話している。

 脆弱性を指摘したLacoonのブログ記事も、起こり得る攻撃手順を説明する中で、攻撃者がユーザーを騙して悪質なファイルを開かせる必要があることを認めている。

 例えば、会社員を標的とする場合なら、IT部門になりすましたメールを送って、添付の構成ファイルをスマートフォンにインストールするよう求めるといった手口が考えられると、Lacoonは説明している。

 だが、仮にルート証明書を含むファイルであれば、たとえピン留めが実装してあっても、そのインストールは回避できないと、Pirc氏は話している。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ