iPhoneのデジタル証明書の認証システ

15 Oct

iPhoneのデジタル証明書の認証システムにセキュリティ上の欠陥は、デジタルセキュリティのブログを明らかにし、 Cryptopathは、iPhoneでの重要なセキュリティ欠陥が潜在的に有害なファイルをダウンロードしてユーザをだましことを明らかにした. 問題は、認証証明書を処理するiPhoneのプロビジョニング·プロトコルであると言われています. どうやらハッカーは、彼らが正当なオーバーザエアシステム構成ファイルをインストールして、さらにそれがCryptopathで著者は書いているApple Incから送信されているとして表示されていることを信じてユーザをだましことができる独自の認証証明書を作成することができます: 我々は観察されたものiPhoneはそれらが信頼されたエンティティによって署名されている場合は、空気を介して、またはワイヤを介して受信mobileconfigファイルを信頼します. ただし、次の信頼できるCAをルックアップするために使用するキーストアは、デフォルトのキーストアのSafari含み、署名のみの証明書がmobileconfigファイルに署名するのに十分であり、ブログはこれが達成されるのいずれかの方法では、VeriSignから一時的な証明書を取得することによってであることを主張しています. ベリサインは、他の証明書プロバイダと同様に、ユーザーが自分の検証システムをテストするための検証されていない一時的な証明書を提供しています. これらの一時的な証明書は、彼らが信頼できないという警告が付属しています. しかし、ブログはこの警告はiPhoneの独自の認証システムでは無視されますと主張している. これまでこの種の明白な攻撃がありませんでしたが、このような攻撃による潜在的な影響はかなり深刻である可能性があります. ハッカーたちは、唯一のデバイスに保存されているすべてのデータにアクセスすることができないかもしれませんが、また、システムのルートにある永続的な変更を加えることができます. しかし、ハッカーがリモートからアプリケーションをインストールまたは実行することはできません. 自公党首、会期延長容認で一致 大島氏は「 三菱UFJ銀、平野副頭取昇格を発表 永易 このような攻撃からデバイスを保護する唯一の方法は、 OTAモバイルconfigのダウンロード用の証明書を信頼しないようにであることを筆者は指摘している. AppleはまだCryptopathsポストにrepondedていません. 我々はあなたが任意の保護などのメカニズムとするとき、それがAppleによって提供され、お知らせいたします.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: