先日iOS、Mac OS X、Windowsを利用するマルウェア「WireLurker」についてお知らせしましたが、iOSの脆弱性を利用する新たな脅威がセキュリティ調査会社FireEyeによって発見されています。
FireEyeは、「Masque Attack」(マスクアタック)が「WireLurker」よりも非常に大きな脅威をもたらすと警告しています。
Masque Attackとは
「Masque Attack」は、iOSにあるセキュリティ上のバグを利用します。
App Storeに既存のアプリを装い、iOSデバイスにApp Store外の悪質なアプリをインストールさせます。インストールを許可してしまうと、悪質なアプリは既存の正当なアプリに取って代わり、別のマルウェアをインストールしたり、ユーザーの個人情報などを盗むことが可能となります。
本物を装い(マスクを付けて)攻撃することから名付けられているようです。
影響を受けるiOSデバイス
「Masque Attack」は、最新のiOS8.1.1を含む、iOS7.1.1以降(7.1.2、8.0、8.1)のiPhone、iPad、iPod touchに影響を及ぼします。
スポンサーリンク
事例
デモビデオの中で、新しいFlappy Birdをインストールできます、というようなテキストメッセージ(SMSやメール)を送り、ユーザーにインストールを促します(写真C)。
実際にクリックしてみると、Flappy Birdではなく偽物のGmailアプリがダウンロードされインストールされます(写真D)。iOSはこのGmailアプリがオリジナルと区別がつかず、何も警告も出さずにインストールを許してしまいます(写真E)。その後、この偽物アプリは本物のように機能します(写真AとE、BとF)。メールなどiOSに保存されたローカルデータもそのままであり、偽物はそのままそれらデータを利用可能になります。
仕組み
「Masque Attack」は、企業内アプリの配信機能を利用してアプリをインストールさせることができます。これは先日の「WireLurker」と同じ手法です。この機能はApp Storeを経由せずベータ版を配信したり、企業が社員にアプリを配信するために使われています。
悪質な偽物アプリは、本物のアプリと同じbundle identifier(バンドル識別子)を持っています。iOSは同じ識別子のあるアプリに証明書が一致することを求めません。したがって、偽物のアプリがワイヤレスやUSBケーブルからこの脆弱性を利用し入りこむことができます。
なお、SafariのようなiOS標準アプリに置き換わることはできません。それが以外のApp Storeからインストールできるすべてのアプリが置き換えられる可能性があります。
偽物のアプリはオリジナルのアプリのローカルデータにさえアクセスできます。アプリが入れ替わった際そうしたデータは削除されません。
このバグはFireEyeから7月にAppleに報告されました。Appleはバグを修正していると回答を受けたようです。
予防方法
App Storeあるいはユーザーの所属する組織以外のアプリをインストールしないことです。上記(f)のようなメッセージと共にウェブサイトからアプリをインストールすることは厳禁です。また、アプリを開いた際、以下のような「Untrusted App Developer」(信頼できないアプリ開発者)という警告表示が出た場合は注意すべきです。この場合「Don’t Trust」(信頼しない)を選択すれば直ちにそのアプリはアンインストールされます。
未脱獄iOSデバイスにも感染する過去最大のマルウェア「WireLurker」、Mac OS XとUSB接続で感染・増殖【更新Windowsでも】 - こぼねみ