読者です 読者をやめる 読者になる 読者になる

こぼねみ

iPhone/iPad/Android/Windows/Macなどの最新情報をお届け

スポンサーリンク

Masque Attack、iOSアプリがマルウェアに置き換えられる脆弱性 WireLurkerよりも脅威

iPhone iPad iPod touch第5世代

先日iOS、Mac OS X、Windowsを利用するマルウェア「WireLurker」についてお知らせしましたが、iOSの脆弱性を利用する新たな脅威がセキュリティ調査会社FireEyeによって発見されています。

FireEyeは、「Masque Attack」(マスクアタック)が「WireLurker」よりも非常に大きな脅威をもたらすと警告しています。


Masque Attackとは

「Masque Attack」は、iOSにあるセキュリティ上のバグを利用します。
App Storeに既存のアプリを装い、iOSデバイスにApp Store外の悪質なアプリをインストールさせます。インストールを許可してしまうと、悪質なアプリは既存の正当なアプリに取って代わり、別のマルウェアをインストールしたり、ユーザーの個人情報などを盗むことが可能となります。

本物を装い(マスクを付けて)攻撃することから名付けられているようです。

影響を受けるiOSデバイス

「Masque Attack」は、最新のiOS8.1.1を含む、iOS7.1.1以降(7.1.2、8.0、8.1)のiPhone、iPad、iPod touchに影響を及ぼします。

スポンサーリンク



事例

デモビデオの中で、新しいFlappy Birdをインストールできます、というようなテキストメッセージ(SMSやメール)を送り、ユーザーにインストールを促します(写真C)。
実際にクリックしてみると、Flappy Birdではなく偽物のGmailアプリがダウンロードされインストールされます(写真D)。iOSはこのGmailアプリがオリジナルと区別がつかず、何も警告も出さずにインストールを許してしまいます(写真E)。その後、この偽物アプリは本物のように機能します(写真AとE、BとF)。メールなどiOSに保存されたローカルデータもそのままであり、偽物はそのままそれらデータを利用可能になります。

仕組み

「Masque Attack」は、企業内アプリの配信機能を利用してアプリをインストールさせることができます。これは先日の「WireLurker」と同じ手法です。この機能はApp Storeを経由せずベータ版を配信したり、企業が社員にアプリを配信するために使われています。

悪質な偽物アプリは、本物のアプリと同じbundle identifier(バンドル識別子)を持っています。iOSは同じ識別子のあるアプリに証明書が一致することを求めません。したがって、偽物のアプリがワイヤレスやUSBケーブルからこの脆弱性を利用し入りこむことができます。

なお、SafariのようなiOS標準アプリに置き換わることはできません。それが以外のApp Storeからインストールできるすべてのアプリが置き換えられる可能性があります。
偽物のアプリはオリジナルのアプリのローカルデータにさえアクセスできます。アプリが入れ替わった際そうしたデータは削除されません。

このバグはFireEyeから7月にAppleに報告されました。Appleはバグを修正していると回答を受けたようです。

予防方法

App Storeあるいはユーザーの所属する組織以外のアプリをインストールしないことです。上記(f)のようなメッセージと共にウェブサイトからアプリをインストールすることは厳禁です。また、アプリを開いた際、以下のような「Untrusted App Developer」(信頼できないアプリ開発者)という警告表示が出た場合は注意すべきです。この場合「Don’t Trust」(信頼しない)を選択すれば直ちにそのアプリはアンインストールされます。

Source:FireEye via 9to5Mac


未脱獄iOSデバイスにも感染する過去最大のマルウェア「WireLurker」、Mac OS XとUSB接続で感染・増殖【更新Windowsでも】 - こぼねみ

Apple Store

Amazon.co.jp