iOS、3年に及ぶクッキー窃取の脆弱性が修正へ

1月20日(米国時間)、Threatpostに掲載された記事「Apple Fixed Cookie Theft Bug in iOS 9.2.1｜Threatpost｜The first stop for security news」が、Appleが公開したiOS 9.2.1で長らく存在していたクッキーが盗まれる脆弱性が修正されたことを伝えた。該当するプロダクトおよびバージョンを使用している場合は最新版へアップグレードすることが望まれる。

この脆弱性は3年ほどにわたって存在していたとされている。攻撃者は自前でWi-Fiネットワークを用意することでこの脆弱性を悪用することができ、該当するバージョンのiOSを利用しているユーザーのクッキーを窃取することができるという。一旦クッキーを盗まれると、さまざまな攻撃に悪用されるおそれがある。

iOSやAndroidを搭載したモバイルデバイスでは、アプリが利用できなくなったり、デバイスそのものが利用できなくなったりすることを懸念してセキュリティアップデートが行われないケースがあるが、セキュリティの観点からすると好ましくない。ベンダーやキャリア、メーカーが提供しているアップデート手段に従って迅速にアップデートを適用することが望まれる。