Apple のモバイル オペレーティング システムで発見された新しいセキュリティ上の脆弱性により、攻撃者は何も知らないユーザーを騙して、Gmail、Angry Birds などの人気アプリやゲームの新バージョンを装った悪質な iPhone および iPad アプリをインストールさせることができる。
「New Angry Bird」「New Flappy Bird」などといった欺瞞的な名前を持つ悪質アプリの事例が、モバイルセキュリティ調査会社FireEyeの月曜日の報告書で言及された。
この攻撃は、SMSメッセージにフィッシングメッセージを仕込むことから始まります。このメッセージは、魅力的なタイトルのアプリやゲームをインストールさせるように仕向けます。その後、悪意のあるアプリはSMSメッセージを送信したり、電話をかけたり、連絡先にメールを送信したりできるようになります。これは、「iOSは同じバンドルIDを持つアプリに対して、証明書の一致を強制しない」ためです。
この問題は、両方のアプリが同じバンドル ID を使用している限り、エンタープライズ/アドホック プロビジョニングを使用してインストールされた iPhone または iPad アプリケーションが、App Store からインストールされた別の正規のアプリを置き換えることができるという、iOS の設計上の見落としに起因しています。
幸いなことに、この脆弱性はメールやSafariといったAppleの標準アプリを置き換えることはできません。しかし、App Storeからインストールされたアプリはどれも、技術に疎いユーザーに悪意のあるソフトウェアをインストールさせるために悪用される可能性があるため、あまり慰めにはなりません。
この悪用は悲惨な結果を招く可能性がある。
例えば、Masque Attacksは、攻撃者がインターネット経由でマルウェアを拡散させ、銀行アプリやメールアプリを置き換える可能性があります。FireEyeによると、攻撃者は「本物の銀行アプリを全く同じUIを持つマルウェアに置き換えることで、簡単に銀行の認証情報を盗むことができる」とのことです。
さらに悪いことに、マルウェアは元のアプリのローカル データにアクセスできるようです。このローカル データには、キャッシュされた電子メールから、悪意のあるアプリがオンライン アカウントに直接ログインするために使用できるログイン トークンまで、あらゆるものが含まれている可能性があります。
以下は、FireEye が提供した、正規の Gmail アプリ (図 A および B) が悪意のあるバージョン (図 D、E、F) に置き換えられた例です。これは、ユーザーがアドホック プロビジョニング (図 C) を通じて「New Flappy Bird」アップデートをインストールすることを選択したためです。
不正アプリをインストールすると、FireEye の研究者は、ローカルにキャッシュされたすべての電子メール (SQLite3 データベースにクリアテキストとして保存) をリモート サーバーからクラウドに吸い上げることができました。
驚くべきことに、このマルウェアは、元のアプリが置き換えられた後もデバイス内に残っている可能性のある、元のアプリのローカルデータにもアクセスできます。これには、キャッシュされたメールや、マルウェアが「ユーザーのアカウントに直接ログイン」するために使用するログイントークンが含まれる場合があります。
FireEye が特に指摘した 5 つのセキュリティ上の意味合いは次のとおりです。
- 攻撃者は、元のアプリのログインインターフェースを模倣して、被害者のログイン認証情報を盗む可能性があります。複数のメールアプリや銀行アプリでこのことが確認されており、マルウェアは元のアプリと同一のUIを使用してユーザーに本物のログイン認証情報を入力させ、リモートサーバーにアップロードします。
- また、元のアプリが置き換えられた後も、元のアプリのディレクトリ配下のデータ(ローカルデータキャッシュなど)がマルウェアのローカルディレクトリに残っていることも確認されました。マルウェアはこれらの機密データを窃取することが可能です。この攻撃はメールアプリでも確認されており、マルウェアは重要なメールのローカルキャッシュを窃取し、リモートサーバーにアップロードすることが可能です。
- MDMインターフェースは、マルウェアと元のアプリが同じバンドルIDを使用していたため、区別できませんでした。現在、各アプリの証明書情報を取得するためのMDM APIは存在しません。そのため、MDMではこのような攻撃を検知することが困難です。
- Virus Bulletin 2014の論文「シェルのないApple - 標的型攻撃を受けるiOS」で述べたように、エンタープライズプロビジョニングプロファイルを使用して配布されるアプリ(「EnPublicアプリ」と呼びます)はAppleの審査プロセスの対象になりません。そのため、攻撃者はiOSのプライベートAPIを悪用し、バックグラウンド監視(CVE-2014-1276)などの強力な攻撃を実行したり、iCloudのUIを模倣してユーザーのApple IDとパスワードを盗み出したりすることが可能になります。
- 攻撃者は、Masque Attacks を使用して通常のアプリ サンドボックスをバイパスし、Pangu チームが使用したような既知の iOS の脆弱性を攻撃してルート権限を取得することもできます。
Masque Attacks から身を守るには、App Store 以外のサードパーティ ソースからアプリをインストールしたりサイドロードしたりしないでください。また、アプリのタイトルがいかに魅力的であっても、悪意のある Web ページに表示される「インストール」オプションをタップしないようにしてください。
さらに重要なのは、iPhone または iPad アプリを開いたときに、以下に示すように「信頼できないアプリ開発元」という警告が表示された場合は、「信頼しない」をタップして、すぐにアプリをアンインストールすることです。
FireEyeは2014年7月にこの脆弱性についてAppleに通知していた。
Masque Attacks によって既にデバイスにアプリがインストールされているかどうかを確認するには、iOS 7 デバイスにインストールされているエンタープライズ プロビジョニング プロファイルの署名 ID ( [設定] > [一般] > [プロファイル] ) をチェックして、不正行為の兆候がないか確認します。
Masqua Attack の動作を見てみましょう。
iOS 8 デバイスでは、デバイスにすでにインストールされているプロビジョニング プロファイルが表示されないため、FireEye チームは「アプリをインストールするときは特に注意する」ことを推奨しています。
今月初め、パロアルトネットワークスのセキュリティ研究者は、中国のサードパーティ製MacアプリストアであるMaiyadi App Storeで400以上のアプリに感染したWireLurkerと呼ばれる新しいマルウェアを発見し、その後Appleは特定されたアプリをブロックして起動できないようにした。
Apple製品セキュリティのウェブページによると、Appleは一般的に、「顧客保護」のため、完全な調査が完了し、必要なパッチやリリースが利用可能になるまで、セキュリティ問題を公表、議論、または確認しないという。
[ファイアアイ]
