Appleは、WireLurkerマルウェアに感染したMacアプリの起動をブロックしました。これは、新規デバイスへのインストールを阻止するためにセキュリティ証明書を失効させた後の措置です。WireLurkerは、感染したアプリのいずれかがインストールされているMacに接続することで、ジェイルブレイクされていないiOSデバイスにも感染する可能性がありました。中国のサードパーティアプリストアで販売されていた400以上のMacアプリが影響を受けました。

Appleの広報担当者は書面の声明で次のように述べた。

中国のユーザーを狙ったダウンロードサイトから悪質なソフトウェアが入手可能なことを確認しました。特定されたアプリは起動しないようにブロックしました。これまで通り、信頼できるソースからソフトウェアをダウンロードしてインストールすることをお勧めします。

しかし、セキュリティ研究者は、他の攻撃者がまったく同じ脆弱性を悪用するのは簡単だと述べています… 

Jonathan Zdziarski 氏は、Palo Alto Networks のホワイト ペーパーに対してブログ投稿で反応し、WireLurker は簡単にブロックできるが、同じアプローチを使用する他の攻撃ではそうではない可能性があると主張しました。

ここでより大きな問題はWireLurker自体ではありません。WireLurkerはまだ初期段階にあるようで、主にスクリプト、プロパティリスト、バイナリをまとめてデスクトップ上に貼り付けたようなもので、簡単に検知できます。真の問題は、iOSのペアリングメカニズムの設計により、この手法のより高度な亜種が容易に武器化されてしまうことです[…]

WireLurker はかなり素人っぽいですが、NSA や GCHQ、あるいはその他の洗練された攻撃者であれば、これと同じようなもっと効果的 (かつ危険な) 攻撃を簡単に実行できるでしょう。

問題は、信頼できるデバイスに与えられる権限の範囲にあると彼は説明する。例えば、iPhoneとMacをペアリングし、それぞれを信頼できるデバイスとして承認すると、MacがiPhoneに対して実行できる操作には事実上制限がなくなる。ジジアルスキー氏は、Appleがリスクを軽減するために講じるべき3つの簡単なステップがあると考えている。

まず、署名のないアプリをインストールすることの危険性について、ユーザーにもっと具体的な警告を与える必要があると彼は述べています。現状では、MacからiOSデバイスに新しいアプリをインストールするには、シンプルな「OK」プロンプトが表示されるだけで十分です。

第二に、Appleはエンタープライズモードをデフォルトで無効にすべきです。エンタープライズモードは、企業がiOSデバイスにカスタムソフトウェアを簡単に導入できるようにするためのものですが、ごく少数のユーザーが使用する機能は、すべてのユーザーを危険にさらすことになります。

企業以外のユーザーの大多数は、企業向けアプリをインストールする必要はなく、インストールしようとしても失敗するはずです。では、なぜAppleは 設定で明示的に有効化しない限り、この機能をロックしないのでしょうか。

3つ目に、MacアプリはiOSデバイスにソフトウェアをインストールする際、ユーザーに許可を求める必要があり、デフォルトではiTunesとXcodeにのみ許可が与えられる。

Appleは、連絡先や位置情報へのアクセス権限を管理するのと同じように、デバイスとの「信頼されたペアリング関係」へのアクセスを管理すべきです。アプリケーションは、この特権データにアクセスするには許可を求める必要があります。

ブログでは、Apple が取る可能性のある追加措置についてさらに技術的な詳細も説明されているが、上記のことは簡単に実行できるだろうと彼は述べている。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。