
編集者注:ウィル・ストラファック(@chronic)は、企業が従業員と機密データをモバイル脅威から保護できるよう支援するモバイルセキュリティサービス企業を経営しています。HackingTeamのダンプファイル内で発見されたコンパイル済みバイナリの迅速かつ徹底的な分析は、同社が近日公開予定のクラウドベースのiOSアプリケーション分析プラットフォームを用いて実現しました。このプラットフォームは、高度なパターンマッチングとヒューリスティック手法を用いて、登録済みのモバイルデバイスにインストールされたアプリケーション内の脅威やプライバシー漏洩を検出します。HackingTeam やその他のiOSマルウェアに関するご質問やご懸念がございましたら、[email protected]までご連絡ください。
執筆者:ウィル・“クロニック”・ストラファック
HackingTeamのリーク情報とそれがiOSユーザーに与える影響について、最近メディアでは様々な情報や憶測が飛び交っています。このグループが政府や法執行機関に提供しているとされる監視ツールは、一般のiPhoneやiPadユーザーにとってリスクとなるのでしょうか?この質問はよく寄せられています。そこで、HackingTeamのツールの詳細を記した最近リークされた文書に基づいて、すべての事実を明らかにし、iOSデバイスにおける特定の側面の影響についての私の見解も述べたいと思います。上級ユーザーの方は既に私の発言内容をご存知かと思いますが、そうでない方のために、以下にご説明いたします。
偽のニューススタンド商品 |
HackingTeamのファイルダンプに含まれる「偽ニューススタンドアイテム」アプリをめぐり、パニックが巻き起こっています。このアプリは空白のアイコンで、ニューススタンドフォルダ内に隠れており、可能な限り「見えない」ようにしています。このアプリは、以下のデータを取得し、攻撃者のサーバーに送信するように設計されています。
– 連絡先(名、姓、電話番号)
– カレンダーの内容
– 写真(およびその位置情報)
– 被害者の正確なGPS座標
– キー入力(「カスタムキーボード」を使用)
このスパイウェアがジェイルブレイクされていないデバイスでも動作可能であるという事実を懸念する声が多く上がっています。これは、ダンプファイル内に含まれていたこのアプリのコンパイル済みIPAが、デバイス制限のないApple開発者証明書の一種であるエンタープライズ証明書によって署名されていたことから生じたものと考えられます(エンタープライズ証明書で署名されたアプリケーションは、どのiOSデバイスでも読み込んで実行できます)。しかし、多くの人が指摘していない点が1つあります。それは、このアプリケーションはまだ導入準備が整っていないように見えることです。現状では、iOSデバイスにこのアプリケーションをインストールする唯一の方法は、デバイスに物理的にアクセスし、以下の手順を実行することです。
1. デバイスのロック画面を解除する
2. デバイスをコンピュータに接続する
3. ホストへの接続を許可するかどうかを尋ねられたら、デバイスで「信頼」を選択する
4. フットプリントを最小限に抑えるには、「ios-deploy」などのカスタムツールを使用してデバイスにスパイウェアをインストールする
5. デバイス上で、アプリが実行できるように、開発者「HT, srl」を「あなた」が本当に信頼していることを確認する
6. さらに、アプリケーションが連絡先、カレンダー、写真、位置情報にアクセスする権限を持っていることを確認する
しかし、たとえ、すでにパスフレーズを知っている攻撃者が iOS デバイスをスワイプし、スパイウェアをロードし、ユーザーに気付かれずにデバイスを元の状態に戻すことができたとしても、次の兆候はユーザーにとって危険信号となります。
– 設定メニューで奇妙な新しいキーボードが有効になる
– バックグラウンド操作によりバッテリーの消耗が速くなる
これは私の意見では議論の余地があります。コードは場当たり的で、完成しているようには見えません。彼らの「クライアント」に利用を許可するような状態ではありません。HackingTeamは慎重さを重視しているようで、このスパイウェアのインストールプロセスと継続的な問題は、決して慎重さを欠いたものです。
脱獄の前提条件 |
HackingTeamが公開ツールでiOSの最新リビジョンをサポートするには、デバイスがジェイルブレイクされていることが前提条件となります。ただし、これは、ジェイルブレイクされたiOSデバイスを使用しているからといって、HackingTeamの攻撃対象となる可能性が高くなる、あるいは低くなるという意味ではありません。ダンプによると、そのユースケースは以下のとおりです。
1. クライアントはターゲットデバイスに物理的にアクセスできる必要がある(再び)
2. クライアントはまず「evasi0n」や「pangu」などのツールを使用してデバイスを脱獄する必要がある
3. 脱獄用にカスタマイズされたスパイウェア「インプラント」は、脱獄時にデバイスにロードされ、起動時に毎回起動するように設定される
デバイスを脱獄すると、デバイスへのフルアクセスを得るためにセキュリティ機能を無効化することになります。Cydiaからパッケージをダウンロードする場合、それらのパッケージはApp Storeからダウンロードしたサンドボックス化されたアプリケーションよりもはるかに強力なため、パッケージが約束どおりの動作のみをすると100%信頼することになります。Cydiaから「tweak」をダウンロードする場合、それはシステム上のアプリケーションにコードを挿入しますが、それが不正な動作をしないことを信頼する必要があります(例:一部の海賊版アプリケーションに同梱されていた「unfl0d」マルウェアは、MobileSubstrateを利用してSSLWriteをオーバーライドし、Apple IDのパスワードを盗聴していました)。脱獄したデバイスを使用する際には、非常に警戒すべき点が数多くありますが、HackingTeamはそのうちの一つではありません。HackingTeamは脱獄したデバイスでターゲットをスパイするための追加のトリックやエクスプロイトを使用しません。これは、悪意のある者が作り出す可能性のあるありふれたコードです。
侵入したホストを介してデバイスを「サイレント」に脱獄し、その後にインプラントを注入するという説がいくつか存在します。まず頭に浮かぶのは、標的のホストコンピュータが侵入された場合、多くの場合、スマートフォンよりもホストコンピュータの方がより重要な情報が存在するというものです。しかし、たとえそれが問題ではないと仮定したとしても、HackingTeamが脱獄エクスプロイトを再実装し、デバイスにサイレント感染するようにカスタマイズしたという証拠は見当たりません。前述のように、彼らの現在の解決策は、クライアント/攻撃者が既存の公開ツールを使用してデバイス上で脱獄を実行し、その後インプラントをロードできるようにすることを前提としているようです。もしHackingTeamがサイレントソリューションを持っていたとしても、彼らはそれを巧妙に隠蔽していたに違いありません。流出した電子メールでさえ、誰かがインプラントのリモート/サイレントインジェクションについて問い合わせた際に、HackingTeamの担当者が、インプラントをデバイスにインストールするには、現状ではデバイスを自ら脱獄する必要があると繰り返し述べていたことが窺えます。
わかりやすい要約 |
– 「非ジェイルブレイク」HackingTeamスパイウェアは不完全で、実際には配備されていない可能性が高い。
– 現状では、「非ジェイルブレイク」HackingTeamスパイウェアはデバイスにインストールされている場合、検出は難しくない。
– 「非ジェイルブレイク」HackingTeamスパイウェアは、一連のアクセス許可ダイアログに「はい」と答える必要があるが、「 」という名前のランダムなアプリに対してユーザーがそうすることはないだろう。
– 最新のHackingTeam iOSスパイウェアの「ジェイルブレイク」版と「非ジェイルブレイク」版は、物理的なデバイスアクセスを必要とするようだ。
– 最新のHackingTeam iOSコードには、「サイレントジェイルブレイク」方式は存在しないようだ。
– ジェイルブレイクユーザーにとってより大きな懸念は、信頼できないパッケージをインストールすることであり、これはHackingTeamコードが現在実行できると思われる以上の悪質な行為を行う可能性がある。
まだ心配な方のためのセキュリティのヒント |
– デバイスのパスフレーズを絶対に共有しないでください(公共の場では、盗み見されないように Touch ID を使用してください)。
– ロック解除中は、デバイスを視界から外さないでください。
– 脱獄する場合は、SSH にパスワードではなく公開鍵認証を使用してください。
– 脱獄する場合は、AFC2 を使用しないでください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。