- コピーしました
幸いなことに、簡単な解決策があります。
クレジット: DenPhotos / Shutterstock.com
目次
Appleは長年パスワード管理ソリューションを提供してきましたが、昨年秋になってようやく専用のパスワードアプリ「Passwords」をリリースしました。その名も「Passwords」。やや簡素ですが、OSに組み込まれており、十分に機能します。(無料なのも嬉しいポイントです。)Appleのエコシステムに精通している方なら、Passwordsを使えば、多数のアカウントのパスワードを簡単に作成、保存、アクセスできます。しかし、Passwordsには重大なセキュリティ上の欠陥があり、Appleはつい最近になってようやく修正しました。
状況は以下のとおりです。Passwordsには、Passwordsアプリ内で直接アカウントのパスワードを変更できるセキュリティ機能があります。これは、アプリがアカウントのパスワードが侵害されたことを検出した場合に特に便利です。アカウントをタップし、「パスワードを変更…」を選択すると、アプリ内ブラウザが開き、アカウントのウェブサイトにアクセスしてパスワードを変更できます。
この機能は便利ですが、重大なセキュリティリスクをはらんでいました。Myskのセキュリティ研究者が発見したように、アカウントで「パスワードを変更…」をタップするたびに、Passwordsは暗号化されていないHTTPプロトコルを使用してサイトに接続し、その後、暗号化されたHTTPSプロトコルにリダイレクトしていました。この暗号化は、デバイスとアクセス先のウェブサイト間の接続を保護します。この暗号化がなければ、特権ネットワークアクセスを持つ攻撃者が接続を乗っ取り、リンクをリダイレクトする可能性があります。
あなたも気に入るかもしれない
パスワードアプリからYelpのパスワードが不正使用されたという警告が出て、変更する必要があるとしましょう。アプリ内でYelpアカウントをタップし、「パスワードを変更…」を選択するだけで大丈夫です。しかし、悪意のある人物があなたのアクティビティを追跡し、本物のYelpウェブサイトが読み込まれる前に、偽のYelpサイトにリダイレクトします。偽のページは、あなたに個人情報を提供するよう促します。あなたは本物のYelpサイトにアクセスしているつもりなので、もしかしたら入力してしまうかもしれません。こうして、あなたはフィッシング詐欺に遭ったのです。
Mysk氏は9to5Macの取材に対し、「Appleがこのような機密性の高いアプリにHTTPSをデフォルトで強制しなかったことに驚きました。(中略)さらに、Appleはセキュリティ意識の高いユーザーのために、アイコンのダウンロードを完全に無効にするオプションを提供すべきです。パスワードマネージャーが送信する呼び出しにはIDが含まれていないにもかかわらず、パスワードを登録しているウェブサイトごとに常にpingを送信するのは不安です。」と語った。
これまでのところどう思いますか?
しかし、この問題はパスワードアプリに限ったものではありません。Mysk氏によると、この欠陥はAppleがiOS 14で侵害されたパスワードを検出する機能を導入した2020年から存在していたとのことです。
このツイートは現在利用できません。読み込み中か削除された可能性があります。
この「パスワード」のセキュリティ欠陥を修正する方法
AppleはiOS 18.2のリリースでこの問題にひっそりと対処しました。このアップデートは2024年12月にリリースされたため、それ以降にiPhoneをアップデートしていれば、今回の変更は良いものになるでしょう。
ただし、まだの場合は、できるだけ早く最新バージョンの iOS にアップデートする必要があります。(この記事の執筆時点では、iOS 18.3.2 で、偶然にも別の重要なセキュリティ パッチが含まれています。) 今すぐアップデートするには、[設定] > [一般] > [ソフトウェア アップデート]に進み、画面の指示に従ってアップデートをダウンロードしてインストールします。
ダウンロードニュースレター 技術ニュースを見逃さない
ジェイク・ピーターソン シニア技術編集者
ジェイクとチームからの最新の技術ニュース、レビュー、アドバイスを入手してください。
ダウンロードニュースレター テクノロジー 関連のニュースを見逃さないでください。ジェイクとチームからの最新のテクノロジーニュース、レビュー、アドバイスをお届けします。
次の記事へスクロールしてください
