グーグルの研究者であるElie Bursztein氏は8日(現地時間)、自身のブログにて、米アップルが「App Store」をHTTPS通信にしたことを明らかにしました。

google-apple 

Bursztein氏は2012年7月にApp Storeの一部通信が暗号化されていないことを指摘。公衆無線LANなどを通じてApp Storeを利用した場合に、通信が傍受されたり改変されたりする恐れがあると警告していました。

同氏によると、このセキュリティホールを利用してユーザーに偽物のアプリをインストールさせたり、アプリのインストールを妨害したりすることが実際に可能だったとのことです。さらに偽物のアプリを利用してユーザーにApp Storeのパスワードを入力させたり、インストールしているアプリの一覧を入手することも可能であったとしています。

実際に、同氏が再現した実験動画が下記のものになります。

 

App Storeのパスワードを入力させる実験

 

偽物のアプリをインストールさせる実験

 

偽物の更新情報を通知する実験

[Elie Bursztein via ITmedia / SlashGear]