日本版App Storeで公開されているiOSアプリのSSL証明書検証不備に関する調査
書誌事項
- タイトル別名
-
- A Survey on Improper Certificate Validation in iOS Apps Released in Japanese Version of App Store
抄録
モバイルアプリにおける証明書検証不備脆弱性,ホスト名検証不備脆弱性は,<br>攻撃者が用意した偽アクセスポイントにアクセスしてしまうことにより,中間者攻撃に悪用されることがある.<br>これらの脆弱性のAndroidアプリに対する調査がいくつか行われている.<br>例えばCERT Tapiocaのような大規模調査が可能なツールが開発されている.<br>池田らは,Google Playの日本向けのAndroidアプリに対して証明書検証不備脆弱性,ホスト名検証不備脆弱性の調査を行っている.<br>本稿ではiOSアプリに対して証明書検証不備脆弱性,ホスト名検証不備脆弱性の調査を行った.<br>日本向けのApp Storeでダウンロードとインストールが可能なiOSアプリを調査対象とする.<br>さらにこれらの脆弱性がないアプリがユーザに伝えるエラーメッセージについても分類し議論する.
In mobiles apps,vulnerabilities of improper certificate validation(CWE-295) <br>and improper validation of certificate with host mismatch(CWE-297) may be exploited<br>for man-in-the-middle attacks by connecting fake wireless access points installed by attackers.<br><br>There have been several surveys on these vulnerabilities of Android apps,<br>and large-scale assessment tools such as CERT Tapioca have been developed. <br>Ikeda et al. are surveying these vulnerabilities in Google Play Android apps for Japan.<br><br>In this paper,we survey iOS apps downloaded from the App Store for Japan.<br>Furthermore, we classify and discuss the error messages that non-vulnerable apps show to users.
収録刊行物
-
- コンピュータセキュリティシンポジウム2020論文集
-
コンピュータセキュリティシンポジウム2020論文集 73-79, 2020-10-19
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050574047088173440
-
- NII論文ID
- 170000184084
-
- Web Site
- http://id.nii.ac.jp/1001/00208337/
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles