Adobe のクラウド サービスと連携するアプリを作成するために使用される Adobe Experience Platform モバイル SDK に、最近まで安全でないデフォルト設定を作成するサンプル構成ファイルが含まれていたことが明らかになりました。
これらのファイルをテンプレートや例として利用するアプリを作成する開発者は、アプリが SSL 保護なしでネットワーク経由でデータを送信しており、傍受や改ざんの危険にさらされていることに気付く可能性があります。
セキュリティ企業のNightwatch Cybersecurityは水曜日、Adobeが問題を修正したアップデート版SDKを公開したことを受け、Adobeの承認を得てこの脆弱性を公開した。Nightwatchは3月にこの脆弱性をAdobeに報告していた。
ADBMobileConfig.json問題は、モバイル アプリケーションにパッケージ化されるSDK の構成ファイルから発生します。
「機密データ」
「このファイルには安全でない設定がいくつか含まれており、SSLなしで機密データが送信され、ネットワークトラフィックにアクセスできる攻撃者によって閲覧または変更される可能性があります」と、Nightwatchのセキュリティ研究者ヤコフ・シャフラノビッチ氏はブログ投稿で説明した。
analyticsファイルのオブジェクトにはSSL設定があり.json、デフォルトでfalseになっています。オブジェクトのSSL設定があり、mediaHeartbeatデフォルトでfalseになっています。また、安全でないHTTP URLを誤って参照する可能性のある設定可能なURLもありますが、通常はそうではありません。
経験豊富な開発者であれば、独自の設定ファイルを作成して問題を回避できるかもしれませんが、Adobeは問題のあるファイルをプロジェクトにコピーすることを明確に推奨しています。例えば、BlackBerry 10 SDKでは、「ADBMobile-4.0.0-BlackBerry フォルダに.jsonという設定ファイルがありますADBMobileConfig.json。このファイルをプロジェクトのルートにコピーしてください」とアドバイスされています。
Googleが全面的にFlash反対を表明、Adobeの安全でない怪物をウェブ検索インデックスから排除
続きを読む
チュートリアルでも同様の推奨事項が示されています。また、開発者は必ずしもこの問題を認識しているわけではないようです。例えば、このリポジトリではSSL設定がfalseになっています。
Adobe社はコメント要請にすぐには応じなかった。
クラウドマーケティング企業は、v4 SDKのサポート終了日を2020年9月に設定しており、今後のバージョンではこの問題は発生しない予定です。Nightwatchへの回答の中で、Adobeは、顧客は通常、SSLがデフォルトで有効になっているモバイルサービスからファイルをダウンロードするか、SSLが推奨されているアドビプロフェッショナルサービスに構成ファイルを作成してもらうか、あるいは顧客が独自の構成ファイルを作成し、ほとんどの顧客がSSLを有効にすると述べています。
Nightwatch の広報担当者はThe Registerへの電子メールで、「[開発者は] 設定ファイルを開発者ポータルからダウンロードしたファイルに置き換えることになっていますが、そうしないことが多々あります」と述べています。
Nightwatch は、既存の Experience Platform アプリで静的分析を実行し、脆弱な SSL 設定が実装されているかどうかを確認するための truegaze というオープンソース ツールを GitHub でリリースしました。
セキュリティ業界は、Adobe の SDK を実装したアプリの SSL の欠如が実際に悪用されたかどうか、また既存のアプリケーションがどれだけ影響を受ける可能性があるかについては認識していないと述べています。®
