jump to navigation

iTunesアカウントのパスワード脆弱性は何が問題だったか? 2013年3月30日

Posted by sei in Apple, iPad, iPhone, security.
trackback

それほど話題に上らなかったけれど実は深刻だったiTunesのパスワードリセットサイトの脆弱性(2013 3/22に発覚 3/24修正)についての詳しいサイトがあったので概略を3

パスワードを忘れた時のひとつの方法として

  1. まず iforgot.apple.comにアクセスしてApple IDを入力
  2. 認証方法として”セキュリティ質問に答えてください”を選択
  3. 誕生日を入力
  4. 2つのセキュリティ質問に答える
  5. 新しいパスワードを入力
  6. パスワードのリセットと更新完了が表示される

というプロセスがあります。特に問題ないようにみえますが実はステップ5が入力されたときの処理に問題がありました。iForgotサーバへパスワード変更リクエストで送られるURL文字列は例えば以下の通り(USサイトの例)

このURLを使えばステップ4をスキップしてステップ5に進めます。有効なApple IDを持っていて自分のパスワードリセットをすれば誰でもこのURL文字列が送信トラフィックもしくはステップ5ページのHTMLから入手可能な状態だったそうです。(もちろん今は修正済み)

これを通報されたAppleは初期対応でiforgot.apple.comのポータルページへのアクセスを禁止しましたが実は

に直接アクセスすれば上記ステップ2ページへ移行でき、やっぱりパスワードリセットができてしまうというお粗末ぶりでネット上では失笑を買う始末でした。指摘を受けAppleは最終的に iforgot.apple.com を遮断しました。(現在は修正済み復旧)

問題点

誰でも公開メールアドレスがAppleIDでかつFacebookなどで生年月日が公開されていれば、第三者によってパスワードがリセットされた可能性があるのでこの脆弱性による影響の範囲は不明です。もしあなたが3/22~3/24あたりに自分のiTunesアカウントへアクセスできなくなっていれば被害者かもしれません。

via imore

広告

コメント»

1. 日刊 あおのうま Vol.865(2013.03.31)【でも、出歩くと後がしんどい】 | 極上の人生 - 2013年3月31日

[…] iTunesアカウントのパスワード脆弱性は何が問題だったか? | A.K.A. sei これ、本当にマズい事態だったと思うの。 […]


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。