iOSの正規アプリをマルウェアに置き換える脆弱性

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存
  • 0
virus01-001
スポンサーリンク
336×280広告

お次はMasque Attackだってばよ!

さて、昨日はWire Lurkerについて書きましたが、またまたでましたiPhoneのマルウェアです。 まったくどうなってんだよ。

脱獄していないiPhoneにも感染するマルウェア。対策しなきゃ!
先日↓で、脱獄によるマルウェア感染の危険性をとりあげました。 しかし、ここにきて未脱獄のiPhoneに感染するトロイの木馬の一種マルウェア「Wire Lurker(ワイヤールーカー)」が...
お次は「Masque Attack」だそうです。 報じたのはセキュリティ会社のFire Eyeです。

ページを要訳しますと

「エンタープライズ/AdHocプロビジョニング」を使ってインストールされたアプリが、iOSにプリインストールされているアプリ(safariとかメールね)以外の、AppStoreからダウンロードされた正規のアプリに置換えるととができる。 これを「Masque Attack」と名付けた。(いちいちカッコイイな) これはテキストメッセージやメールに仕込んだURLをユーザーにクリックさせ、アプリをインストールするように仕向けます。 以下の動画はFireEyeに上げられたデモ動画ですが、ここでは「新しいFlappy Birdで遊んでみみな~い?」的なノリで誘っています。

メッセージのURLをクリックするとFlappy Birdなんかは出てこず、AppStoreからダウンロードしたGmailのアプリを密かに上書きするマルウェアでした。
この例ではGmailのアプリに上書きされていましたが、「Masque Attack」はiOSプリインストールのアプリ以外には全て有効です。

ネットバンキング等の銀行のアプリに成り変わられた場合、銀行口座やパスワード等が全て盗まれる事になります。
当然TwitterやFacebookのIDやパスワードだって簡単に盗まれてしまいます。

そしてこの脆弱性は脱獄、非脱獄を問わず、iOS 7.1.1、7.1.2、8.0、8.1および8.1.1β上で確認されているようです。

同時に、先日お伝えしたWireLurkerがUSBを利用して限定的なMasque Attackを行うこともFireEyeは確認したとのことです。

FireEyeの提示してくれた例

FireEyeblog001

上の画像は実際にFireEyeで、「com.google.Gmail」というバンドル識別子を持つアプリを「New Flappy Bird」という名前で、エンタープライズ証明書を使って署名しています。これを「New Flappy Bird」だと思ってインストールすると、Gmailアプリが上書きされてしまうというわけです。

まずず(a)(b)では、22通の未読のeメールがGmailアプリにあることが解ります。このGmailアプリはまだ「Masque Attack」に侵されてはいません。

(c)は被害者が「New Flappy Bird」をダウンロードしてみない?と誘われている図です。
これはただ単に「New Flappy Bird」という名称を与えらているだけということに注意してください。

しかしこのアプリにはバンドル識別子「com.google.Gmail」があります。
被害者がアプリを「インストールする 」をクリックした後、(d)の図でオリジナルのGmailアプリが書き換えられている様子を表しています。

そして(e)ではGmailアプリが完全に上書きされました。

その後、この上書きされたGmailアプリを開いたのが(f)です。完全に同じUIになっていると思います。上部に小さいテキストボックスで「yes, you are pwned(はい、完敗です)」と表示されていると思います。これは、FireEyeがアプリが上書きされたことを解りやすく示すために加えたものです。当然悪意を持った者はこういった解りやすいことはしてくれないでしょう。

で、いつの間にかローカルキャシュに保存されているEメールは攻撃者のリモートサーバーにアップロードされてしまいます。それが下の図です。

Untitled4

Masque Attackへの対策

Fire EyeはMasque Attackからの攻撃からの対策として3つのステップを示しています。

  1. Apple公式のAppStoreや自身の会社や学校などの信頼のおけるところからしかアプリをダウンロードしない。出処の解らない第三者からのアプリは決してダウンロードしない。
  2. ポップアップでアプリがなんと言おうと、怪しいWEBサイトから「アプリをインストールする」をクリックしてはいけません。攻撃者は魅力的なアプリタイトルで我々を誘惑してきますが、それに屈してはいけません。
  3. もしiOSが下の画像のような警告をだしてきたら、「Don’t Trust(信頼しない)」を選択して、直ちにアプリのダウンロードを中止する。

FireEye002

以上の3STEPが今のところMasque Attackから身を守る術です。

Masque Attackがインストールされているか確認する方法

これは残念ながらiOS7でしかできません。
iOS7の方は設定→一般→プロファイルをクリックし、どんなプロビジョニング・プロファイルがインストールされているかを確認することができます。

iOS8からは、デバイスに既にインストールされていたプロビジョニング・プロフィールを確認することができません。
従って先述のように、怪しいWEBサイトからのアプリダウンロードを避けるしかありません。


う〜ん、困ったもんですね。
以前は歯牙にもかけられていなかったiOSですが、普及は嬉しいのですがそれと共にこういった攻撃者の標的になってしまうのですから、悲しいですね。

俺の場合は、「Xvideoのモザイクが外れるアプリ」 なんて名称で出されたら、何も考えずにダウンロードしてしまいそうです。

※この記事はFireEyeのブログを参考にして書いています。ここで提示した画像等はFireEyeのブログから借用しております。

スポンサーリンク
336×280広告
  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存
スポンサーリンク
336×280広告

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です