先週、AppleのマーケティングSVPであるフィル・シラー氏は、昨年の新たなモバイル脅威の79%をAndroidデバイスが占め、iOSデバイスはわずか0.7%であったことを示すモバイルマルウェアレポートへのリンクをツイートした。
もちろん、彼がリンクをツイートしたという事実は、報告書のデータよりもはるかに驚くべきものでした。AndroidはiOSよりもモバイルマルウェアの影響を受けやすいことは、何年も前から知られていました。そうでしょうか? セキュリティ専門家は、そう簡単にはいかないと言います…
The Next Web の Matthew Panzarino 氏は、セキュリティ企業 Skycure の新しいレポートを紹介し、iOS の重大なセキュリティ上の脆弱性である「構成プロファイル」について詳細に説明しています。
構成プロファイルとは何でしょうか?iOSの設定を変更できる小さなファイルです。誰もが一度は目にしたことがあるでしょう。Appleはパッチの配信に使用していたこともあり、通信事業者もアップデートの配信に使用していることがあります。
しかし、Skycureによると、これらのプロファイルは悪意を持って使用されると非常に危険です。Appleによって使用が承認されているにもかかわらず、サードパーティのApp Storeアプリやウェブサイトに適用される標準的な「サンドボックス」ルールの対象外となっています。
Skycureは危険性を実証するため、構成プロファイルのインストールを促す偽のウェブサイトを作成し、そのリンクをPanzarino氏に送信しました。インストール後、Panzarino氏はSkycureがパスワードやその他のデータを不正に取得できることを知りました。
プロファイルがインストールされた後、シャラバニは私がどのウェブサイトにアクセスしたかを正確に読み取れるだけでなく、FacebookやLinkedInなどのアプリからキー入力、検索、ログインデータを取得することも実演しました。念のため言っておきますが、これはiOSの脆弱性ではなく、標準化されたフレームワークを利用して悪意のあるプロファイルを配信するものです。
慌てる必要はありません。デバイスが上記の動作の影響を受けるには、実際に悪意のあるプロファイルをインストールする必要があります。しかし、ユーザーを誘惑する方法は容易に想像できます。「無料の音楽と映画、今すぐアプリをインストールしてください」
ここで重要なのは、不明なソースや怪しいソースからの構成プロファイルのインストールを絶対に避けることです。これらのプロファイルが頻繁に使用されていることを考えると、Appleが近い将来にこれらを削除するとは考えにくいでしょう。
