OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

2021/07/04 236 users OAuth ディープリンク Akaki I 対策 挙動

​前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を... 続きを読む

iOSの正規アプリをマルウェアに置き換えられる脆弱性、セキュリティ企業が報告 - ITmedia ニュース

2014/11/10 157 users iOS FireEye iOS端末 マルウェア USB経由

FireEyeは、App Storeから入手した正規アプリをマルウェアに置き換えることができる脆弱性を見つけたと発表した。 セキュリティ企業のFireEyeは11月10日、iOS端末にインストールされた正規アプリをマルウェアに置き換えることができてしまう脆弱性を見つけたと発表した。既に一部のマルウェアで悪用され始めているといい、無線ネットワークやUSB経由で攻撃を仕掛けられる恐れがあると警告してい... 続きを読む