これまで計1,800万ダウンロードされた76個のアプリに、通信データを盗まれる恐れがあることが発表されました。

一般ユーザーはどう対処すべきなのでしょうか。

どんな被害に遭う可能性があるのか

アプリが利用しているコードに問題があるので、アプリが行う通信データが盗まれたり、内容を改ざんされたりする恐れがあります。

問題があるアプリをWi-Fiに接続して使っていると、そのWi-Fi圏内にいる悪意のあるユーザーはアプリの通信内容を盗み見ることができる、とこの問題を発表したWill Strafach氏は述べています。

現時点で公開されている情報によれば、アプリの利用に必要なユーザーIDとパスワードが盗まれたり、検索に使ったキーワードが盗み見されたりする恐れがあります。

問題が指摘されているアプリ

76個のアプリのうち、データが盗まれても危険性が低いとされる「低リスク」に分類された33個のアプリ名が公開されています。

銀行口座の情報や医療データなどの公開されるべきではない情報が流出する恐れがある「中リスク」・「高リスク」アプリについては、悪用を防ぐために公開されていません。

中・高リスクのアプリは開発者に連絡したのち、60〜90日以内に公開するとしています。

「低リスク」に分類されているアプリ

アプリ名と盗まれる恐れがあるデータをまとめました。

日本のApp Storeで配信されていないアプリは除外しています。掲載順は発表通りです。

ooVoo:ユーザーID・パスワードVivaVideo:iOSのバージョン・iPhoneの種類・検索キーワードVolify:iOSのバージョン・iPhoneの種類・3G/4G回線名・バッテリー情報Epic!:作品の著作権保護に関する暗号の解除キーMico:メールアドレス・iOSのバージョン腾讯微云:アプリの利用状況HUAWEI HiLink:iOSのバージョン・iPhoneの種類VICE News:iOSのバージョン・iPhoneの種類・開発元が作成した関数の呼び出しTrading 212 Forex & Stocks:ユーザーID途牛旅游:iOSのバージョン・iPhoneの種類・Wi-Fiの名前とBSSIDYeeCall Messenger:メールアドレス・電話番号Loops Live:3G/4G回線のコードと国識別コードPrivat24:iOSのバージョン・iPhoneの種類Private Browser:Facebookの分析データ・開発元が作成した関数の呼び出し猎豹浏览器:iOSのバージョン・iPhoneの種類・GPS情報・推測変換AMAN BANK:関数の呼び出しFirstBank PR Mobile Banking:関数の呼び出しvpn free:VPNサーバの情報とリスト・設定ファイルのダウンロードリンクVPNワンクリックプロ:VPNサーバの情報とリスト・設定ファイルのダウンロードリンクMusic tube:動画のリスト・検索キーワードFoscam IP Camera Viewer:関数の呼び出し

一般ユーザーはどう対応すべきか

Will Strafach氏によれば、アプリで重要な情報をやり取りする際、Wi-Fiを使わないようにすることを勧めています。

3G・4G(LTE)回線を使った通信でも、この問題はそのまま残ります。しかし、Wi-Fiとは違って通信を傍受するのが難しくなる、としています。

もし問題のアプリを使っているなら、問題を修正するアップデートが配信されるまで使用をやめる、という対処法もあります。

参考

76 Popular Apps Confirmed Vulnerable to Silent Interception of TLS-Protected Data - Will Strafach - Medium