先週、中国のMacおよびiOSユーザーがWireLurkerと呼ばれる新たなマルウェアの標的になったと報じられ、Appleはこのセキュリティ問題を認め、影響を受けるマルウェアアプリをブロックしました。その数日後、モバイルセキュリティ調査会社FireEyeは、AppleユーザーにとってWireLurkerよりもはるかに大きな脅威となる重大なiOSセキュリティ欠陥を発見したと発表しました。

FireEyeによると、いわゆる「Masque Attack（マスクアタック）」と呼ばれる新たなセキュリティ脆弱性は7月に発見されました。これは、iOSが同じバンドルIDを持つアプリに対して証明書の一致を強制していないことに起因しています。攻撃者はiPhone、iPad、iPod touchのユーザーを「New Flappy Bird」や「Angry Bird Update」といった偽りのアプリ名で誘導し、ユーザーには気づかれないまま、実際には悪意のあるアプリをインストールさせてしまう可能性があります。Mobile Safariなどのプリインストールアプリのみが影響を受けないと言われています。

「マスク攻撃は、インターネット経由で攻撃者のマルウェアを使って、銀行アプリやメールアプリなどの正規のアプリを置き換えることができます」とFireEyeは主張しています。「つまり、攻撃者は正規の銀行アプリを同一のUIを持つマルウェアに置き換えることで、ユーザーの銀行認証情報を盗むことができます。驚くべきことに、マルウェアは元のアプリが置き換えられた際に削除されなかったローカルデータにもアクセスできます。これらのデータには、キャッシュされたメールや、マルウェアがユーザーのアカウントに直接ログインするために使用するログイントークンが含まれている可能性があります。」

FireEyeは、iOS 7.1.1からiOS 8.1.1ベータ版を搭載した非ジェイルブレイクデバイスとジェイルブレイク済みデバイスの両方に影響を与えるこの脆弱性について、7月26日にAppleに通知したと主張しています。モバイルセキュリティ調査会社であるFireEyeは、Masque Attackは深刻なセキュリティ被害をもたらすと主張しています。攻撃者は「元のアプリのログインインターフェースを模倣して被害者のログイン認証情報を盗む」ことや、「Masque Attacksを用いて通常のアプリサンドボックスを回避し、Panguチームが利用したような既知のiOS脆弱性を攻撃することでルート権限を取得する」ことが可能です。

Pangu は、先月リリースされた iPhone、iPad、iPod touch 向けの iOS 8 アンテザード ジェイルブレイクを開発した中国のチームです。

FireEyeは、上記のスクリーンショットに基づいて、このセキュリティ脆弱性の事例を示しました。正規のGmailアプリ（図AおよびB）が、エンタープライズ/アドホックプロビジョニング（図C）を通じてユーザーに「New Flappy Bird」アップデートをインストールさせることで、悪意のあるバージョン（図D、E、F）に置き換えられたことを示しています。FireEyeは、デモンストレーションとして、悪意のあるGmailアプリ（図F）の上部に「yes, you are pwned（はい、あなたは乗っ取られました）」というテキストを表示し、ローカルにキャッシュされたすべてのメールをリモートサーバーにアップロードできることを実証しました。

一般的な目安として、iOS ユーザーは予防措置として、App Store 以外からアプリをインストールしないことが推奨されます。特に、信頼できない開発者からのアプリはインストールしないでください。

私たちはAppleにコメントを求めて連絡しており、返答があればこの投稿を更新します。

[ツイート 532032185063464962 hide_media='true' align='center']

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。