Oligur

• ニュース

WireLurker の脆弱性が iOS コミュニティに衝撃を与えてから 1 週間も経たないうちに、さらに危険な可能性のある新たなマルウェアの脅威が発見されました。

FireEye モバイル セキュリティ リサーチ チームは本日、iPhone 上の正規のアプリを模倣し、個人情報を盗む偽のアプリに置き換える「Masque Attack」と呼ばれる新たな iOS マルウェアの脅威を発見したと発表しました。

Masque Attack（マスク攻撃）は非常に致命的で、ユーザーが気付かないうちに銀行やメールアプリを乗っ取る可能性があります。この攻撃は、Flappy Birdなどの人気アプリの偽のアップデートをインストールするよう促し、Gmailや銀行アプリを本物を装ったトロイの木馬に密かに置き換えます。ただし、このトロイの木馬は、ユーザーが入力したすべての個人データを吸い取るように設計されています。

攻撃の仕組みを示すビデオデモはこちらです:

この新たな脆弱性は、先週中国で非脱獄iPhoneを通じて急速に拡散したWireLurkerに続くものです。Appleは、悪意のあるアプリのインストールに利用されるエンタープライズ証明書をブロックすることでWireLurkerを迅速に排除しましたが、Masque AttackはバンドルIDを利用して不正アプリをデバイスに侵入させます。

研究者らは、Masque AttackがiOS 7.1.1、7.1.2、8.0、8.1、8.1.1ベータ版で動作することを発見しました。この攻撃はWi-FiまたはUSB経由で実行可能で、標準アプリ以外のあらゆるiOSアプリを置き換えることが可能です。

Masque Attackは、いくつかの理由から危険です。まず、元のアプリを模倣してログイン情報を盗みます。元のアプリのディレクトリからデータを読み取って、その他の機密データを盗むことさえ可能です。攻撃者は、iOSのプライベートAPIを利用してMasque Attackを悪用し、バックグラウンドでユーザーを監視したり、Apple IDとパスワードを盗んだりすることもできます。

FireEyeは、この脆弱性を悪用すれば、通常のアプリサンドボックスを回避し、既知のiOSの脆弱性を攻撃することでデバイスのルート権限を取得できる可能性があると指摘しています。Appleにコメントを求めましたが、現時点で返答はありません。

Masque Attackから身を守るために、iOSユーザーはApp Storeから直接入手したもの以外はアプリをインストールしないでください。iPhoneにウェブサイトのポップアップが表示された場合は、内容に関わらず「インストール」をクリックしないでください。また、アプリを開いた際にiOSに「信頼できないアプリの開発元」からの警告が表示された場合は、「信頼しない」をタップし、直ちにアンインストールしてください。

出典: FireEye