2014.11.11 23:33|カテゴリ:Security

iOSを狙う「Masque Attack(仮面攻撃)」は「WireLurker」より危険なので注意しよう


 セキュリティベンダーFireEyeのブログで、iOSを狙った新たな攻撃を発見したというエントリが公開されました。
  
Masque Attack: All Your iOS Apps Belong to Us | FireEye Blog
In July 2014, FireEye mobile security researchers have discovered that an iOS app installed using enterprise/ad-hoc provisioning could replace another genuine app installed through the App Store, as long as both apps used the same bundle identifier.


 その攻撃に名付けられた名前は「Masque Attack(仮面攻撃)」。

 「Masque Attack」は、iOSに提供されている企業やアプリ開発者がアプリ配信に用いる「エンタープライズ/アドホック・プロビジョニング」を悪用します。この機能は、App Storeを経由せずに従業員に社内アプリを配布したり、開発中のアプリのテストを行う際に利用するのが一般的ですが、これを悪用し偽アプリをターゲットのiOS端末にインストールします。
 
 iOSには、正規アプリと同じバンドルIDを偽アプリに割り当てることで利用者に気付かれずに正規アプリと置き換えることができるという脆弱性があります。「Masque Attack」はこの脆弱性と「エンタープライズ/アドホック・プロビジョニング」を悪用し、正規アプリを装った偽アプリをターゲットのiOS端末に送り込みます。

 この攻撃が恐ろしいのはとても簡単に攻撃が可能であることです。攻撃者は事前にどこかに本物と同じ見かけを持つ偽アプリをアップロードしておき、SMSやメール、あるいは掲示板などに偽アプリへのリンクを仕掛けます。iOS端末利用者がリンクをクリックするとアプリのインストールを確認するボタンが表示され、ここで「Install(インストール)」を選ぶとその偽アプリが既存のアプリに置き換わりインストールされます。

 この攻撃例は、下記動画の35秒あたりから確認できます。この動画では、SMSに届いたリンクをクリックしたところ、人気アプリである「Flappy Bird」のインストール確認画面が表示され、「Install」を選択すると、すでにインストールされている「GMail」アプリが偽アプリに更新されます。
  


MasqueAttack.jpg
(画像出典:Masque Attack: All Your iOS Apps Belong to Us | FireEye Blog


 「Masque Attack」では、Safariなどアップル純正アプリは置き換えることができませんが、「AppStore」で公開されているすべてのアプリを置き換えることが可能です。純正のアプリ以外を使っていないというユーザは少ないでしょうから、この攻撃が実際に行われた場合、被害を受けるユーザは決して少なくないでしょう。
 
 また、SMSやメールを使うことで「特定の相手を狙って」、遠隔操作アプリなどを忍び込ませることが可能なため、いわゆる標的型攻撃として使われる可能性があります。
 
 この攻撃を標的型攻撃対策を得意とするFireEyeが発見したというのはなかなか興味深いところですが、それはおいておいて利用者としては、SMSやメール、さらに掲示板などのリンクを不用意にクリックしないという、いたって当たり前の対策が求められます。少なくとも、リンクをクリックした後にアプリのインストール確認画面が表示されたら絶対に「Install(インストール)」ボタンをクリックしないということを心がけましょう。

 以前ご紹介した「WireLurker」は偽アプリストアからアプリをインストールすることで攻撃を受けるため、そのようなストアからではなく、正規のApp Storeからしかインストールしなければ被害にあいませんでした。しかし、「Masque Attack」はリンクをクリックしアプリをインストールすることで被害にあう可能性があります。「WireLurker」よりも被害に会う可能性が高いと考えられます。
 
 「不用意にリンクをクリックしない」、「App Storeにアクセスした時以外にアプリのインストール確認ボタンが表示されてもインストールしない」といった対策を徹底しましょう。

関連記事


Appleを狙うマルウェア「WireLurker」の感染が拡大中 脱獄していなくても感染するので注意!|I believe in technology
セキュリティベンダー「Palo Alto Networks」によると、中国でMac OS XおよびiOSに感染するマルウェア「WireLurker」の感染が拡大しているとのこと。「Palo Alto Networks」は本件を詳しく解説したレポートを公開し、注意を呼びかけています。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。