新しいFox Newsの記事を聞くことができるようになりました。
Apple は、アプリをダウンロードするための安全な場所として App Store を宣伝することがよくあります。同社はiPhoneユーザーに対する重要な保護として、厳格な審査とクローズドシステムを強調している。その評判は今、深刻な疑問に直面している。
新しい調査によると、Apple が承認した数千の iOS アプリには隠れたセキュリティ上の欠陥があることがわかっています。これらの欠陥により、ユーザー データ、クラウド ストレージ、さらには支払いシステムが漏洩する可能性があります。
問題はマルウェアではありません。これらは、アプリのコードに直接書き込まれる不適切なセキュリティ慣行です。
無料の CyberGuy レポートにサインアップしてください
最高の技術ヒント、即時のセキュリティ警告、特別セールがあなたの受信箱に直接配信されます。さらに、私に参加すると、私の究極の詐欺サバイバル ガイドにすぐにアクセスできるようになります – 無料 サイバーガイ.com ニュースレター。
Apple、数百万台のiPhoneが攻撃される可能性があると警告
CyberNews の研究者は、多くの iOS アプリが機密情報をアプリ ファイル内に直接保存しており、簡単に抽出できることを発見しました。 (カート「サイバーガイ」ナットソン)
研究者が iOS アプリ内で発見したもの
サイバーセキュリティ調査会社サイバーニュースのセキュリティ研究者らは、15万6000以上のiPhoneアプリのコードを分析した。これは、世界中で利用可能なすべてのアプリの約 8% に相当します。
彼らが見つけたものは次のとおりです。
- アプリコード内に815,000以上の秘密が隠されている
- アプリごとに平均 5 つのシークレット
- アプリの 71% が少なくとも 1 つの秘密を漏洩しました
これらのシークレットには、パスワード、API キー、アクセス トークンが含まれます。開発者はそれらをアプリ内に直接配置し、誰でも抽出できるようにします。 CyberNews の研究者 Aras Nazarovas 氏によると、これにより攻撃者の仕事はほとんどのユーザーよりもはるかに簡単になります。
ハードコードされたシークレットとは簡単に言うと何ですか?
ハードコードされたシークレットは、安全なサーバーで保護されるのではなく、アプリ内に直接保存される機密情報です。デビットカードの裏面に銀行の暗証番号を書くようなものだと考えてください。アプリをダウンロードすると、そのファイルを検査して秘密を明らかにすることができます。攻撃者は特別なアクセスや高度なハッキング ツールを必要としません。サイバーセキュリティ・インフラストラクチャセキュリティ庁と連邦捜査局はいずれも開発者に対し、そうしないよう警告している。しかし、これは大規模に起こっています。
クラウドストレージの漏洩で大量のデータが流出
最も深刻な問題の 1 つはクラウド ストレージに関するものです。 78,000 を超える iOS アプリには、クラウド ストレージ バケットへの直接リンクが含まれていました。これらのバケットには、写真、文書、領収書、バックアップなどのファイルが保存されます。場合によっては、パスワードがまったく必要ない場合もありました。研究者は次のことを発見しました:
- 836個の保管バケットが完全に公開されています
- 760 億を超える公開ファイル
- 406テラバイト以上のデータが流出
このデータには、ユーザーのアップロード、登録の詳細、アプリのログ、個人の記録が含まれていました。どこを見るべきかを知っている人なら誰でもそれを視聴したりダウンロードしたりできます。
Apple、標的型攻撃に利用された2つのゼロデイ欠陥を修正
CyberNews の調査によると、このグラフは、iOS アプリ内で見つかったハードコードされたシークレットの最も一般的なタイプを示しており、Google 関連のキーが最も頻繁に出現しています。 (サイバーニュース)
Firebaseデータベースも開いたままになっていました
多くの iOS アプリは、ユーザー データの保存に Google Firebase に依存しています。 CyberNews は、アプリ コードに隠された 51,000 以上の Firebase データベース リンクを発見しました。一部は安全でしたが、2,200 以上は認証されていませんでした。彼はこう暴露した。
- 約2,000万のユーザーレコード
- メッセージ、プロフィール、アクティビティログ
- 主に米国でホストされているデータベース
Firebase データベースがロックされていない場合、攻撃者は公開 Web サイトと同様にユーザー データを閲覧できます。
決済システムやログインシステムも危険にさらされていた
漏洩した機密の中には、分析や広告よりも危険なものもありました。研究者たちは次のような秘密鍵を発見しました。
- Stripe が支払いと返金を処理します
- ログインを制御する JWT 認証システム
- ショッピングアプリで使用される注文管理ツール
Stripe 秘密キーが漏洩すると、攻撃者が返金、送金、請求詳細へのアクセスを行う可能性があります。ログイン キーが漏洩すると、攻撃者がユーザーになりすましたり、アカウントを乗っ取ったりする可能性があります。
AI とソーシャル アプリは最悪の犯罪者の 1 つ
最も大きな漏洩があったアプリの中には、人工知能に関連したものもありました。 Vex Underground によると、セキュリティ会社 CovertLabs は、ユーザーデータを漏洩した 198 個の iOS アプリを特定しました。最悪のケースとして知られているのは、Codeway の Chat & Ask AI です。研究者らは、これにより数百万人のユーザーに関連するチャット履歴、電話番号、メールアドレスが暴露されたと述べている。別のアプリである YPT – Study Group は、メッセージ、ユーザー ID、アクセス トークンを漏洩したと報告されています。 CovertLabs は、Firehound と呼ばれる制限付きリポジトリでこれらのイベントを追跡します。影響を受けるアプリの完全なリストは公表されておらず、研究者らは、さらなる暴露を防ぎ、開発者にセキュリティ上の欠陥を修正する時間を与えるために、データは限定されていると述べている。
悪意のある Google Chrome 拡張機能によりアカウントがハイジャックされる
この例では、Google API 認証情報や Stripe 支払いシークレットなどの機密キーを iOS アプリのファイル内に直接保存し、簡単に抽出できる方法を示します。 (サイバーニュース)
Apple のアプリレビューで隠れたセキュリティリスクが明らかになるのはなぜですか?
Apple は、App Store にアプリを掲載する前にアプリをレビューします。ただし、レビュー プロセスでは、アプリのコードをスキャンして隠された秘密を確認することはありません。アプリがテスト中に正常に動作する場合、たとえ機密キーがファイル内に隠されていたとしても、レビューに合格する可能性があります。これにより、Apple のセキュリティに関する主張と現実世界のリスクとの間にギャップが生じます。開発者にとって、漏洩した秘密を削除するのは簡単ではありません。古いキーを取り消し、新しいキーを生成し、アプリの一部を再構築する必要があります。これにより、機能が壊れたり、アップデートが遅れたりする可能性があります。 Apple は、ほとんどのアプリのアップデートは 24 時間以内に審査されると述べていますが、一部のアップデートには数週間かかるものもあります。その間、安全でないアプリが利用可能なままになる可能性があります。
CyberGuyはAppleにコメントを求めたが、公開前に返答は得られなかった。
今すぐ安全を保つ方法
アプリに隠された秘密があるかどうかを簡単に検査することはできません。 Apple はこのためのツールを提供していません。それでも、選択的かつ慎重になることで、露出を減らし、露出を制限することができます。これらの手順は、アプリがバックグラウンドでデータを漏洩した場合のリスクを軽減するのに役立ちます。
1) 確立されたアプリ開発者とのつながりを保つ
有名な開発者には強力なセキュリティ チームがあり、より適切な更新手法を備えています。小規模なアプリや未知のアプリは、機能の市場化を急ぐあまり、セキュリティの基本を無視する場合があります。ダウンロードする前に、開発者がアクティブになっている期間とアプリが更新される頻度を確認してください。
2) アプリの権限を確認して制限する
多くのアプリは必要以上のアクセスを要求します。位置情報、連絡先、写真、マイクへのアクセスはすべて、データ漏洩のリスクを高めます。 iPhoneの設定に移動し、 権限を削除する アプリが機能するためには必要ありません。
3) 使わなくなったアプリを削除する
使用されていないアプリは、以前に共有したデータへのアクセスを引き続き保持します。開くのをやめた後でも、リモート サーバーに情報が保存される可能性があります。数か月間アプリを使用していない場合は、削除してください。方法は次のとおりです: 開く 設定タップ 一般的な選ぶ iPhoneのストレージまた、アプリのリストをスクロールして、それぞれが最後に使用されたのがいつかを確認します。不要になったアプリをタップして選択します アプリを削除する これを削除し、継続的なデータ漏洩を軽減します。
4) 個人的および財務上の詳細に注意してください
絶対に必要な場合を除き、機密情報の入力は避けてください。これには、氏名、住所、支払いの詳細、個人的な会話が含まれます。 AI アプリは、非常に個人的なコンテンツを共有する場合に特に危険です。
5) すべてのアカウントにパスワード マネージャーを使用する
パスワード マネージャーは、すべてのアプリやサービスに対して強力で一意のパスワードを作成します。 1 つのアプリがデータを漏洩しても、攻撃者が複数のアカウントにアクセスすることを防ぎます。メールアドレスに関連付けられたパスワードを再使用しないでください。
次に、メールが以前の侵害で公開されているかどうかを確認します。当社が選ぶ No. 1 のパスワード マネージャーには、電子メール アドレスやパスワードが既知の漏洩に含まれていないかどうかをチェックする侵害スキャナーが組み込まれています。一致するものが見つかった場合は、再利用されたパスワードをすぐに変更し、それらのアカウントを新しい一意の資格情報で保護します。
専門家がレビューした 2026 年の最高のパスワード マネージャーをここでチェックしてください サイバーガイ.com。
6) 公開されたアプリに関連付けられたパスワードを変更する
アプリがログインにメール アドレスを使用する場合は、そのパスワードをすぐに変更してください。違反が確認されない場合でもこれを実行してください。攻撃者は、漏洩した認証情報を他のサービスでテストすることがよくあります。
7) データ削除サービスの利用を検討する
流出したデータの一部は、個人情報をオンラインで販売するデータブローカーに渡ります。データ削除サービスは、これらのデータベースから詳細を見つけて削除するのに役立ちます。これにより、流出したアプリデータが詐欺や個人情報の盗難に再利用される可能性が低くなります。
インターネットからデータを完全に削除することを保証できるサービスはありませんが、データ削除サービスは確かに賢い選択です。それらは安くはありませんし、プライバシーも守られません。これらのサービスは、お客様の個人情報を積極的に監視し、何百もの Web サイトから体系的に削除することで、すべての作業を行います。これは私にとって安心感を与え、インターネットから個人データを消去する最も効果的な方法であることが証明されています。利用可能な情報を制限することで、詐欺師が侵害によるデータとダークウェブで見つけた情報を相互参照するリスクが軽減され、詐欺師があなたをターゲットにすることが難しくなります。
私のおすすめのデータ削除サービスをチェックして、無料のスキャンを受けて、あなたの個人情報がすでにウェブ上に公開されているかどうかを確認してください サイバーガイ.com。
無料のスキャンを実行して、個人情報がすでにウェブ上で公開されているかどうかを確認してください。 サイバーガイ.com。
8) アカウントに異常なアクティビティがないか監視する
予期せぬメール、パスワードリセット通知、ログインアラート、支払い確認を追跡します。これらは、漏洩したデータがすでに悪用されていることを示している可能性があります。何かがおかしいと思われる場合は、すぐに対処してください。
9) 危険なAIやチャットアプリの使用をやめる
AI アプリをプライベートな会話に使用している場合は、開発者がセキュリティ修正を確認するまで一時停止することを検討してください。データが一度流出すると、取り戻すことはできません。会話をリモートに保存するアプリと機密情報を共有することは避けてください。
クルトのハイライト
Apple の App Store は依然として強力なセキュリティを提供していますが、今回の調査ではそれが絶対確実ではないことが示されています。信頼できる iPhone アプリの多くは、基本的なセキュリティ上のミスにより、黙ってデータを公開します。アプリのレビューが改善されるまでは、共有するデータ量を慎重に制限する必要があります。
公開されたくない情報にアクセスできる iPhone のアプリはいくつありますか?ここに書いてお知らせください サイバーガイ.com。
Fox Newsアプリをダウンロードするにはここをクリックしてください
無料の CyberGuy レポートにサインアップしてください
最高の技術ヒント、即時のセキュリティ警告、特別セールがあなたの受信箱に直接配信されます。さらに、私に参加すると、私の究極の詐欺サバイバル ガイドにすぐにアクセスできるようになります – 無料 サイバーガイ.com ニュースレター。
著作権 2026 Cyberguy.com。無断転載を禁じます。
