ジェイルブレイクされていない標準のiOSデバイスは、新たなセキュリティ脅威である「AceDeceiver」と呼ばれるトロイの木馬に対して脆弱であることが判明しました。このトロイの木馬は、ユーザーの知らないうちに、またエンタープライズ証明書なしでiOSデバイスにインストールされる可能性があります。インストールされると、マルウェアや不要なソフトウェアがユーザーのデバイスに拡散されます。
現時点では、AceDeceiver は中国にいるユーザーにのみ影響を与えているようですが、状況は急に変わる可能性もあるため、将来的に同様の脅威が世界中のユーザーに影響を与えないように、自分自身を守る方法を知っておく必要があります。
AceDeceiver iOSトロイの木馬の仕組み
Palo Alto Networksによって最初に発見されたこのトロイの木馬は、AppleのDRM保護メカニズムであるFairPlayの脆弱性を悪用します。これは中間者攻撃の一種であり、デバイスがiTunesとの認証に使用する認証コードチェックを欺くことで、購入または海賊版のソフトウェアやマルウェアをiOSデバイスにインストールすることを可能にします。
AceDeceiverは、AppleのDRM保護メカニズム(FairPlay)における特定の設計上の欠陥を悪用し、iOSデバイスがジェイルブレイクされているかどうかに関わらず、悪意のあるアプリをインストールする、初めてのiOSマルウェアです。この手法は「FairPlay中間者(MITM)」と呼ばれ、2013年から海賊版iOSアプリの拡散に使用されてきましたが、マルウェアの拡散に使用されたのは今回が初めてです。(FairPlay MITM攻撃手法は2014年のUSENIXセキュリティシンポジウムでも発表されましたが、この手法を用いた攻撃は依然として成功しています。)
Appleは、ユーザーがコンピュータで実行されているiTunesクライアントを介してApp StoreからiOSアプリを購入・ダウンロードすることを許可しています。その後、コンピュータを使用してアプリをiOSデバイスにインストールできます。iOSデバイスは、アプリが実際に購入されたことを証明するために、インストールされたアプリごとに認証コードを要求します。FairPlay MITM攻撃では、攻撃者はApp Storeからアプリを購入し、その認証コードを傍受して保存します。そして、iTunesクライアントの動作をシミュレートするPCソフトウェアを開発し、iOSデバイスにアプリが被害者によって購入されたと思わせます。そのため、ユーザーは実際には購入していないアプリをインストールでき、ソフトウェアの作成者はユーザーに気付かれずに悪意のあるアプリをインストールできます。
偽の認証によってユーザーの同意なしにアプリをインストールできるため、トロイの木馬に感染したユーザーは、Apple IDのログイン情報などの個人データが盗み見されたり盗まれたりする危険にさらされている。
2015年7月から2016年2月の間にApp Storeに3つの「壁紙」アプリが登場し、Appleの審査プロセスを通過し、攻撃者がAppleのDRM認証コードのコピーを入手できたと説明されている。
Apple は 2 月にこれらの悪質なアプリを App Store から削除しましたが、Apple の DRM 保護メカニズムの脆弱性がまだ修正されておらず、攻撃者が悪質なアプリのインストールに使用できる認証コードのコピーをまだ保持しているため、iOS デバイスのセキュリティは依然として危険にさらされています。
ユーザーへの影響
感染したアプリのユーザーは、Windows(Macではない)マシンにAisi Helperと呼ばれるアプリをインストールするよう求められます。このアプリは、デバイスの復元、脱獄、バックアップ、さらにはジャンクファイルの削除にも役立つ便利なソフトウェアであると主張しています。
Aisi Helper は、その機能の謳い文句とは裏腹に、実際にはサードパーティによって管理されているサードパーティ製アプリストアに接続します。そして、サードパーティ製アプリストアの背後にいる攻撃者は、公式 App Store から取得した DRM 認証コードを使用して、Windows PC への USB 接続を介して、ユーザーに気付かれずにマルウェアやアプリをユーザーのデバイスにインストールできるようになります。
具体的には、Aisi Helperは、攻撃者のニーズに合わせてカスタマイズされた非常に特殊なアプリをiOSデバイスに自動的にインストールし、アプリ内の追加機能を有効にするためにユーザーにApple IDのログイン情報の入力を求めます。これらのApple IDは、後に攻撃者の記録として保管するために、攻撃者に送信されます。これは当然のことながら、ユーザーのApple IDがマルウェアによって侵害されていることを意味します。
まだ影響を受けているのは誰ですか?
影響を受ける App Store アプリは Apple によって削除されましたが、攻撃者は必要な DRM 認証コードをすでに入手しているため、中国の特定の地域に拠点を置き、Windows マシンに Aisi Helper アプリをダウンロードしたユーザーはトロイの木馬に対して脆弱です。
繰り返しになりますが、これは中国の特定の地域の一部の人々にのみ影響を与えているように見えますが、攻撃者が悪用している DRM の脆弱性を Apple が正式に修正しない限り、攻撃者はいつでもアプリを改変して世界中の他の場所に影響を及ぼす可能性があります。
自分を守る方法
Windowsマシンをご利用の場合は、怪しいソフトウェアのダウンロードは避けてください。Aisi Helperをダウンロードした場合は、直ちに削除してください。Macをご利用の方はAisi Helperツールを実行できませんが、将来的に変更されるかどうかは不明です。
何らかの理由でApple IDの入力を求められた場合は、正規のApple製アプリにのみ入力し、サードパーティ製アプリには絶対に入力しないでください。App Storeの制限により、サードパーティ製アプリがApple IDへのアクセスを要求することは決してありません。そのため、サードパーティ製アプリがApple IDへのアクセスを要求する場合は、すぐに警戒すべきです。
Palo Alto Networks が推奨するその他の手順は次のとおりです。
- デバイスに奇妙なエンタープライズ証明書がインストールされていないことを確認してください
- デバイスに奇妙なプロビジョニングプロファイルがインストールされていないことを確認してください
- Apple IDの2要素認証を有効にする
- できるだけ早くApple IDのパスワードを変更してください
セキュリティ企業はまた、AceDeceiver に関連するエンタープライズ証明書またはプロビジョニング プロファイルの名前が、次に示すものと同じか類似している可能性があると指摘しています。
- aisi.aisiring
- aswallpaper.mito
- i4.画像
まとめ
日々、新たな脆弱性が発見されています。幸いなことに、上記のPalo Alto Networksの推奨事項に従うことで、この攻撃や類似の攻撃から身を守ることができます。このような不正な攻撃が他にも存在するかどうかは、手遅れになるまで分からないこともあります。
Apple IDを保護するために、追加のセキュリティ対策を講じますか?コメントでシェアしてください!
出典:パロアルトネットワークス(Mac Rumors経由)
