セキュリティ研究者が、iPhone ユーザーを騙して銀行アプリのアップデートと称するものをインストールさせることを目的としたフィッシング攻撃を発見した。

この攻撃は、iOS の保護にもかかわらず機能します。なぜなら、実際に「インストール」されるのは、App Store の審査や警告を必要としないプログレッシブ ウェブ アプリだからです。

プログレッシブウェブアプリ（PWA）

プログレッシブウェブアプリ（PWA）とは、本質的にアプリのような見た目と動作を持つウェブサイトです。実際、2007年にiPhoneが初めて発売された当時、サードパーティ開発者がアプリを公開するにはPWAが唯一の手段でした。

Appleの共同創業者スティーブ・ジョブズは当時、彼らについてこう語っている。

iPhoneにはSafariエンジンがフル装備されています。そのため、iPhoneアプリと全く同じ見た目と動作を持つ、素晴らしいWeb 2.0アプリやAjaxアプリを作成できます。これらのアプリはiPhoneのサービスと完璧に連携します。電話をかけたり、メールを送信したり、Googleマップで場所を検索したりできます。

そしてなんと、SDKは必要ありません！最新のWeb標準を使って素晴らしいiPhoneアプリを開発する方法を知っていれば、必要なものはすべて揃っています。開発者の皆さん、素晴らしいストーリーをご用意しました。今すぐiPhoneアプリの開発を始めてください。

Apple はすぐにネイティブ iPhone アプリの方が優れたエクスペリエンスを提供できることに気づき、1 年後に App Store が誕生しましたが、今でも PWA を使用できます。

偽の銀行アプリアップデートによるフィッシング攻撃

サイバーセキュリティ企業ESETは、AndroidとiPhoneの両方のユーザーを標的としたPWAの悪用を発見しました。攻撃は、テキストメッセージ、ソーシャルメディア上の広告、音声通話など、さまざまな方法で行われています。

音声通話は自動音声通話で行われ、ユーザーに古い銀行アプリについて警告し、数字キーボードでオプションを選択するよう求めます。正しいボタンを押すと、SMSでフィッシングURLが送信されます[…]

iOSを狙うフィッシングサイトは、被害者にプログレッシブウェブアプリケーション（PWA）をホーム画面に追加するよう指示しますが、Androidではブラウザでカスタムポップアップを確認した後にPWAがインストールされます。現時点では、どちらのOSにおいても、これらのフィッシングアプリは、模倣している本物の銀行アプリとほとんど区別がつきません。 

ユーザーが偽のアプリにログインすると、ログイン詳細が取得され、攻撃者に送信されます。

iPhone 所有者は、自分のデバイスがマルウェアに対して安全だと考えている人が多いため、特に危険にさらされている可能性があります。

iOSユーザーの場合、アニメーションポップアップが表示され、フィッシングPWAをホーム画面に追加する方法を説明します。このポップアップはiOSのネイティブプロンプトを模倣しており、結果として、iOSユーザーでさえ、潜在的に危険なアプリをスマートフォンに追加することについて警告を受けないことになります。

これまでに確認された実際の例はチェコとハンガリーのユーザーをターゲットにしていますが、同じ手法が世界中で簡単に使用される可能性があります。

自分を守る方法

銀行からの連絡を装ったものには、テキストメッセージ、メール、音声通話など、常に疑いの目を向けてください。最も安全な方法は、電話を切って、銀行の取引明細書やクレジットカードに記載されている電話番号など、信頼できる電話番号に電話をかけ、情報に基づいて行動する前に、提供された情報を確認することです。

銀行アプリの正規のアップデートは、App Store にアクセスすることで入手できます。

Macworld経由。画像：UnsplashのAntonの写真を使用した9to5Macの合成画像。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。