iOSデバイス上の正規アプリを不正アプリに置き換える攻撃手法の詳細が明らかに 39
次々見つかる危険性 部門より
セキュリティー企業のFireEyeは10日、iOSの脆弱性を利用して端末にインストールされた正規のアプリを不正アプリに置き換える「Masque Attack」の詳細を明らかにした(FireEye Blog、ロイター、CNET Japan)。
Masque AttackはバンドルIDの同じアプリをインストールする際に証明書の一致を強制しないというiOSの脆弱性を利用することで、iOSのプリインストールアプリを除くすべての正規アプリを不正アプリに置き換えることができる。先日発見されたマルウェア「WireLurker」と同様に企業内でのアプリ配信の仕組みを利用してJailBreakの有無にかかわらず不正アプリをインストールするが、USB接続だけでなくインターネット経由での攻撃も可能だという。この脆弱性はiOS 7.1.1/7.1.2/8.0/8.1/8.1.1 betaに存在する。FireEyeでは7月に脆弱性を発見し、Appleには7月26日に通知しているそうだ。
正規アプリを置き換えた不正アプリは偽の画面を表示してログイン情報などを窃取可能で、正規アプリがローカルに保存していたデータにもアクセス可能だという。また、現在のところモバイルデバイス管理API(MDM API)にはアプリの証明書情報を確認する機能がないため、正規アプリと不正アプリを見分けることはできない。不正アプリはAppleの審査を経ないため、正規アプリには認められていないiOSの隠しAPIを利用してより強力な攻撃が可能となるほか、サンドボックスをバイパスして既知の脆弱性を突くことでルート権限を取得することも可能とのこと。
Masque Attackに対する緩和策としては、以下のような3つのステップが挙げられている。
- 正規のアプリストア以外からアプリをインストールしない
- サードパーティーのWebサイトでアプリをインストールするかどうかの確認ダイアログが表示されても決してインストールしない
- アプリ起動時に開発者を信頼するかどうかの確認ダイアログが表示されたら、必ず「信頼しない」を選んでアプリをアンインストールする
使い勝手がいいのか (スコア:2)
忘れたころに出てくるAll your base [wikipedia.org]
Re: (スコア:0)
All your iOS app are blong to usじゃないのかよ
ところで (スコア:1)
すぐに湧くアンチって個人の趣味でやってるのかな?
それとも組織的なの?
the.ACount
脆弱性なんてない (スコア:0)
それは利便性
脆弱性とかいって叩いてる層はGoogle方面の人達かな?
ネガティブキャンペーンに必死ですね
Re:脆弱性なんてない (スコア:1)
証明書の一致を裏で確認すれば良いだけなのに、利便性に影響あるの?
Re: (スコア:0)
クラッカーにとっては間違いなく利便性。
後はゲームとかのセーブデータ吸出し&改造がJBなしに出来るとか?
まぁ、Androidも似たような署名検証不足の脆弱性やらかしてるし、iOSにもあったんだねーということで。
後はWPか?
Re: (スコア:0)
「企業内でのアプリ配信の仕組みを利用して」ってことだから、これ自体は脆弱性ではないね。
iOSにエンタープライズ機能があることを知らない人が記事を書いたのかな?
ただ中国ではウイルス配信の為に企業を作って、それで申請するようなこともあるのかも?
(日本だと面倒な作業が沢山あるし、お金もかかるし、そもそも不正サイト使う人すくないからペイしないけど)
Re:脆弱性なんてない (スコア:1)
エンタープライズ向け機能で任意のアプリに署名したら何故かどんなアプリでも上書き可能という脆弱性なんですが。
Re: (スコア:0)
いやいや、この記事で言ってるのは例えば「新作ゲームあります」と言うリンクをたどってそこの指示に従ったら
facebook のアプリを偽物に入れ替えられてしまうみたいなという話だろ?
「企業内でのアプリ配信の仕組みを利用して」こういうことが出来てしまうのは明らかに脆弱性でしかない。
Re: (スコア:0)
そこにたどり着くまでにいろいろな警告メッセージを全て無視してインストールした場合はそうかもね。
でも、Androidのようにアプリストアがたくさんあるわけではないし
普通の人が使うのは1つ(App Store)しかないからね(Androidだと脆弱性を利用した不正インストールの手口があったと思うが)
だから騙される可能性は低い。無料とかの明らかな不正なものを分かっていれている人は自己責任でしょう。
しかも不正が発覚したら、そこで使用された署名はすぐに停止されてしまうという
企業から署名を盗んで使えば可能だが・・・そもそも秘密鍵が簡単に盗めるわけないし、盗んだ時にはすでにその社内のネットワークに侵入しているんだから他にいろいろやられるだろうって(^^;
Re: (スコア:0)
AndroidユーザーですがPlayストア以外の選択肢が同列に並んでいる状況だとは思えません
せいぜい純正以外で選択肢に入りそうなのはAmazonくらいかなと
そういうレイヤーでユーザーを騙しにかかれるほど
それ以外のストアは市民権を得てないというのが現状です
脆弱性≠バグ (スコア:0)
勘違いしている人も多いけれど、脆弱性とバグは本当は別物なんだよ。
バグではなく、メーカーの設計通りに動いているとしても、それがセキュリティ侵害に使われるものならば脆弱性なんだよ。
Re: (スコア:0)
ウイルス、マルウェア入りアプリで本来のアプリを上書き出来るのが脆弱性ではないと?
Re: (スコア:0)
ユーザーが自分の意思でダウンロードして、管理者パスワードもしっかり入力してマルウェアをインストール出来るのが脆弱性だとすれば、Windowsは決して使っちゃいかんOSだと言うことになってしまうよ。
Re: (スコア:0)
信心深過ぎて間違いも間違いと認められないまま
Appleもその気になっちゃうという
いつものApple自滅パターン
近いうちにiOS捨てて新しいプラットフォーム出すんだろうな
Re: (スコア:0)
新しいプラットフォームでも同じこと繰り返しそう。
このストーリーについたコメント読んでてそう思った。
インストールプロセスはいかに (スコア:0)
プロファイルをインストールするときは、パスワードの確認とか、本当にインストールするのか?とか何度も聞かれるから、ワンタップでミスでインストールされちゃうことはないんだけど、
この件の配布方法ってどうなんでしょう?
”インストールしますか?”ダイアログがでて、YES/NOだけで一発でインストールされちゃうのかな?
アプリの証明書を確認しないのはどう考えても問題だと思うけど、そもそもディベロッパー登録しないとこの手法も使えないよね?
登録にはクレジットカードも必要だと思うし、割と楽に犯人までたどり着きそうだけど、どうなんだろう。
盗んだクレジットカード情報とかで登録してんのかな。
それとも、アプリの開発者の証明書さえ確認してないのかな?それだと登録しなくても実機でテストできちゃうのか。
Re: (スコア:0)
エンタープライズ登録の時は会社の登記簿のコピーとか必要なはず。
個人でも会社名義で登録した時は必要で確認電話も(夜中に)かかってきたから。
1.正規のアプリストア以外からアプリをインストールしない (スコア:0)
いや...しないでしょ普通?としか思わんのだけど。
要は、既に持っているアプリの新バージョンを(予算不足等の理由で)インストールしていない人が、「旧版さえ持っていれば無料でアップデート出来ますよ」と銘打った不正コピーアプリらしきものをウェブからダウンロードして、パスワードとか入力しまくれればマルウェアがインストール出来るってこと?
マルウェアのテスターさんもご苦労様だね。
Re: (スコア:0)
有料のメジャーアップデートとは違う話の気がする。
同じバンドルIDなら証明書の一致を求めないという事なので、せいぜい無料でインストール出来るマイナーバージョンかと。
それをアプリストアの自動アップデート適用前に、あえて急いで怪しいサイトからダウンロードする意味不明な行動をとる人が対象かと。
企業内でのアプリ配信の仕組みを利用して (スコア:0)
企業内のアプリケーション作成/配布担当者が悪意を持ってマルウェアを配信したら、どんなシステムだってイチコロだよなあ。
いちいち正規アプリの置き換えとか必要ある?
ちなみに、タレコミにある隠しAPI云々とかサンドボックスをバイパス云々のくだりは単なる妄想?
Re: (スコア:0)
正規アプリだと誤認させてそこに文字を打たせることに意味があるんでないかな?
認証情報にアクセスできる権限あってもiOSの管理データはしっかり暗号化されてるから盗み出したところで何の価値もない
ある意味セキュリティがしっかりしてるからユーザー自身に生で打ち込んでもらうアナログハック手法が必要なんだろう
あと隠しAPIというか、非公開のAPIは確かにあるね。ヘッダのダンプさえしてしまえば簡単に取り出せる
アクセス権さえ取れてればアプリ範囲外のデータまで一応操作できる
とはいえユーザー側の操作でアクセスを許可するダイアログを押さなきゃいかんからなぁ
>サンドボックスをバイパスして既知の脆弱性を突く
たぶんプライベートAPIのこと言ってんじゃないかな。書き方的にこの人自身の知識が薄そうだけど…
まあなんにしろ、こういうのに引っかかるのは非公式は自己責任って理解できないアホか、情弱が背伸びして変なモン踏むくらいのもんでしょうな。
Re: (スコア:0)
JBしてrootパスワード変更済みのワイ高みの見物
Re: (スコア:0)
犬が人をかんでもニュースになりませんが、人が犬をかむと二ュースになります。
ってことでは。
Re: (スコア:0)
駐車違反撲滅キャンペーンCMに出てくる大阪のオカンみたいだなw
Re: (スコア:0)
風祭評子「呼んだ?」
Re: (スコア:0)
iOSにはウィルスは無い。
無いからセキュリティ対策は不要。
そういっていた信者の誤りをた正すためでしょ?
Androidは、みんな認めてることだしね。
Re:風評被害です (スコア:2)
この話題では正規のApp Storeに並ぶアプリ自体は問題視されていないのですが。
外部からマルウェアを持ってきてインストールできることが問題視されているのです。
「本来の使い方」をして妙なリンクを辿らなければ確かに問題にはならないでしょうけど。
Re: (スコア:0)
OS側のサンドボックスにストアには厳正な審査があるので
ユーザー側で施すセキュリティーは不要
とか言ってCMまで流してたじゃないですか。
開き直るのはやめてください。
Re:風評被害です (スコア:2)
そのCMは別のOSの話じゃないですか?
Re: (スコア:0)
量の多さよりも可処分所得の多さで重くを置く必要があるって話では?
大金を持ってない人の銀行口座が判ってもあまり意味ないしw
Re: (スコア:0)
見向きもされないのではなく悪意ある人が付け入る隙がないんです
タレコミの件も結局Android厨房によるネガキャンだし妬みひどすぎです