2014年11月13日木曜日

iOSアプリをマルウェアに置き換える攻撃「Masque Attack」

株式会社Pro-SPIRE エンジニアリングサービス事業部の志田山です。

本日は、iPhoneやiPadにインストールしたアプリをマルウェアに置き換える攻撃「Masque Attack」についてご紹介いたします。

Masque Attack: All Your iOS Apps Belong to Us | FireEye Blog
http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html
※上記のリンクは外部サイトが別ウィンドウで開きます。

Cyber Security & Malware Protection | FireEye, Inc.
http://www.fireeye.com/
※上記のリンクは外部サイトが別ウィンドウで開きます。

Masque Attack(なりすまし攻撃)は、セキュリティ調査会社の「FireEye」によって発見されました。

iOS 7.1.1以降を搭載した端末にインストールされているApple純正でないアプリ(サードパーティー製のアプリ)を、悪意のあるマルウェアに置き換えるという攻撃です。

Masque Attackで攻撃されるまでの順序は以下の通りです。
  1. テキストメッセージやメールにリンクを貼り、ユーザーにリンクを踏ませる
  2. リンクを踏むと、App Storeを経由せずアプリがインストールされる
  3. 端末内の正規サードパーティー製アプリが書き換えられる
  4. 書き換えられたものから、様々な情報が抜き取られる
偽アプリに書き換えられても、書き換えられる前と動作が変わらないため、攻撃されていることに気づきにくいようです。


※上記のリンクは外部サイトが別ウィンドウで開きます。

Masque Attackが、App Storeを経由せずに偽アプリのインストールを行うことができる理由は、
企業が従業員にアプリを配信するための手法「Enterprise Provisioning Profiles」を用いているからだと発表されています。
この手法をとると、App Storeを経由せずアプリ配信を行うことができます。
また、偽アプリは正規のアプリと同じバンドルID(アプリケーションを一意に識別するもの)を使用しているので、これを検出して攻撃を未然に防ぐことは難しいようです。

FireEyeは対策手法として以下3点のことなどを挙げています。
  • App Store以外からサードパーティー製のアプリをインストールしない
  • ウェブページ上でポップアップ表示される「インストール」ボタンを押さない
  • 「信頼できないアプリ開発者」という警告が表示された際はアプリをインストールせずにアンインストールする

iPhoneやiPadにインストールしたアプリをマルウェアに置き換え情報を抜き取る攻撃「Masque Attack」が登場 - GIGAZINE
http://gigazine.net/news/20141112-masque-attack-ios/
※上記のリンクは外部サイトが別ウィンドウで開きます。

今現在は、ユーザー自身が気をつけて対策をするしかないため注意しなければならないなと感じました。

以上、本日の小話でした。

0 件のコメント:

コメントを投稿