パスワードを忘れた? アカウント作成
11709686 story
iOS

iOSデバイス上の正規アプリを不正アプリに置き換える攻撃手法の詳細が明らかに 39

ストーリー by hylom
次々見つかる危険性 部門より
headless 曰く、

セキュリティー企業のFireEyeは10日、iOSの脆弱性を利用して端末にインストールされた正規のアプリを不正アプリに置き換える「Masque Attack」の詳細を明らかにした(FireEye BlogロイターCNET Japan)。

Masque AttackはバンドルIDの同じアプリをインストールする際に証明書の一致を強制しないというiOSの脆弱性を利用することで、iOSのプリインストールアプリを除くすべての正規アプリを不正アプリに置き換えることができる。先日発見されたマルウェア「WireLurker」と同様に企業内でのアプリ配信の仕組みを利用してJailBreakの有無にかかわらず不正アプリをインストールするが、USB接続だけでなくインターネット経由での攻撃も可能だという。この脆弱性はiOS 7.1.1/7.1.2/8.0/8.1/8.1.1 betaに存在する。FireEyeでは7月に脆弱性を発見し、Appleには7月26日に通知しているそうだ。

正規アプリを置き換えた不正アプリは偽の画面を表示してログイン情報などを窃取可能で、正規アプリがローカルに保存していたデータにもアクセス可能だという。また、現在のところモバイルデバイス管理API(MDM API)にはアプリの証明書情報を確認する機能がないため、正規アプリと不正アプリを見分けることはできない。不正アプリはAppleの審査を経ないため、正規アプリには認められていないiOSの隠しAPIを利用してより強力な攻撃が可能となるほか、サンドボックスをバイパスして既知の脆弱性を突くことでルート権限を取得することも可能とのこと。

Masque Attackに対する緩和策としては、以下のような3つのステップが挙げられている。

  1. 正規のアプリストア以外からアプリをインストールしない
  2. サードパーティーのWebサイトでアプリをインストールするかどうかの確認ダイアログが表示されても決してインストールしない
  3. アプリ起動時に開発者を信頼するかどうかの確認ダイアログが表示されたら、必ず「信頼しない」を選んでアプリをアンインストールする
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by goph (45653) on 2014年11月13日 13時06分 (#2710427)
    FireEyeのblogのタイトルが「Masque Attack: All Your iOS Apps Belong to Us」

    忘れたころに出てくるAll your base [wikipedia.org]
    • by Anonymous Coward

      All your iOS app are blong to usじゃないのかよ

  • by the.ACount (31144) on 2014年11月14日 11時45分 (#2711107)

    すぐに湧くアンチって個人の趣味でやってるのかな?
    それとも組織的なの?

    --
    the.ACount
  • by Anonymous Coward on 2014年11月13日 13時16分 (#2710431)

    それは利便性

    脆弱性とかいって叩いてる層はGoogle方面の人達かな?
    ネガティブキャンペーンに必死ですね

    • by Anonymous Coward on 2014年11月13日 13時47分 (#2710453)

      証明書の一致を裏で確認すれば良いだけなのに、利便性に影響あるの?

      親コメント
      • by Anonymous Coward

        クラッカーにとっては間違いなく利便性。
        後はゲームとかのセーブデータ吸出し&改造がJBなしに出来るとか?

        まぁ、Androidも似たような署名検証不足の脆弱性やらかしてるし、iOSにもあったんだねーということで。
        後はWPか?

    • by Anonymous Coward

      「企業内でのアプリ配信の仕組みを利用して」ってことだから、これ自体は脆弱性ではないね。
      iOSにエンタープライズ機能があることを知らない人が記事を書いたのかな?

      ただ中国ではウイルス配信の為に企業を作って、それで申請するようなこともあるのかも?
      (日本だと面倒な作業が沢山あるし、お金もかかるし、そもそも不正サイト使う人すくないからペイしないけど)

      • by Anonymous Coward on 2014年11月13日 23時44分 (#2710894)

        エンタープライズ向け機能で任意のアプリに署名したら何故かどんなアプリでも上書き可能という脆弱性なんですが。

        親コメント
      • by Anonymous Coward

        いやいや、この記事で言ってるのは例えば「新作ゲームあります」と言うリンクをたどってそこの指示に従ったら
        facebook のアプリを偽物に入れ替えられてしまうみたいなという話だろ?
        「企業内でのアプリ配信の仕組みを利用して」こういうことが出来てしまうのは明らかに脆弱性でしかない。

        • by Anonymous Coward

          そこにたどり着くまでにいろいろな警告メッセージを全て無視してインストールした場合はそうかもね。

          でも、Androidのようにアプリストアがたくさんあるわけではないし
          普通の人が使うのは1つ(App Store)しかないからね(Androidだと脆弱性を利用した不正インストールの手口があったと思うが)
          だから騙される可能性は低い。無料とかの明らかな不正なものを分かっていれている人は自己責任でしょう。

          しかも不正が発覚したら、そこで使用された署名はすぐに停止されてしまうという

          企業から署名を盗んで使えば可能だが・・・そもそも秘密鍵が簡単に盗めるわけないし、盗んだ時にはすでにその社内のネットワークに侵入しているんだから他にいろいろやられるだろうって(^^;

          • by Anonymous Coward

            AndroidユーザーですがPlayストア以外の選択肢が同列に並んでいる状況だとは思えません
            せいぜい純正以外で選択肢に入りそうなのはAmazonくらいかなと

            そういうレイヤーでユーザーを騙しにかかれるほど
            それ以外のストアは市民権を得てないというのが現状です

      • by Anonymous Coward

        勘違いしている人も多いけれど、脆弱性とバグは本当は別物なんだよ。

        バグではなく、メーカーの設計通りに動いているとしても、それがセキュリティ侵害に使われるものならば脆弱性なんだよ。

    • by Anonymous Coward

      ウイルス、マルウェア入りアプリで本来のアプリを上書き出来るのが脆弱性ではないと?

      • by Anonymous Coward

        ユーザーが自分の意思でダウンロードして、管理者パスワードもしっかり入力してマルウェアをインストール出来るのが脆弱性だとすれば、Windowsは決して使っちゃいかんOSだと言うことになってしまうよ。

    • by Anonymous Coward

      信心深過ぎて間違いも間違いと認められないまま
      Appleもその気になっちゃうという
      いつものApple自滅パターン

      近いうちにiOS捨てて新しいプラットフォーム出すんだろうな

      • by Anonymous Coward

        新しいプラットフォームでも同じこと繰り返しそう。
        このストーリーについたコメント読んでてそう思った。

  • by Anonymous Coward on 2014年11月13日 17時35分 (#2710627)

    プロファイルをインストールするときは、パスワードの確認とか、本当にインストールするのか?とか何度も聞かれるから、ワンタップでミスでインストールされちゃうことはないんだけど、
    この件の配布方法ってどうなんでしょう?
    ”インストールしますか?”ダイアログがでて、YES/NOだけで一発でインストールされちゃうのかな?

    アプリの証明書を確認しないのはどう考えても問題だと思うけど、そもそもディベロッパー登録しないとこの手法も使えないよね?
    登録にはクレジットカードも必要だと思うし、割と楽に犯人までたどり着きそうだけど、どうなんだろう。
    盗んだクレジットカード情報とかで登録してんのかな。

    それとも、アプリの開発者の証明書さえ確認してないのかな?それだと登録しなくても実機でテストできちゃうのか。

    • by Anonymous Coward

      エンタープライズ登録の時は会社の登記簿のコピーとか必要なはず。
      個人でも会社名義で登録した時は必要で確認電話も(夜中に)かかってきたから。

  • いや...しないでしょ普通?としか思わんのだけど。
    要は、既に持っているアプリの新バージョンを(予算不足等の理由で)インストールしていない人が、「旧版さえ持っていれば無料でアップデート出来ますよ」と銘打った不正コピーアプリらしきものをウェブからダウンロードして、パスワードとか入力しまくれればマルウェアがインストール出来るってこと?
    マルウェアのテスターさんもご苦労様だね。

    • by Anonymous Coward

      有料のメジャーアップデートとは違う話の気がする。
      同じバンドルIDなら証明書の一致を求めないという事なので、せいぜい無料でインストール出来るマイナーバージョンかと。
      それをアプリストアの自動アップデート適用前に、あえて急いで怪しいサイトからダウンロードする意味不明な行動をとる人が対象かと。

  • by Anonymous Coward on 2014年11月13日 23時32分 (#2710884)

    企業内のアプリケーション作成/配布担当者が悪意を持ってマルウェアを配信したら、どんなシステムだってイチコロだよなあ。
    いちいち正規アプリの置き換えとか必要ある?
    ちなみに、タレコミにある隠しAPI云々とかサンドボックスをバイパス云々のくだりは単なる妄想?

    • by Anonymous Coward

      正規アプリだと誤認させてそこに文字を打たせることに意味があるんでないかな?
      認証情報にアクセスできる権限あってもiOSの管理データはしっかり暗号化されてるから盗み出したところで何の価値もない
      ある意味セキュリティがしっかりしてるからユーザー自身に生で打ち込んでもらうアナログハック手法が必要なんだろう

      あと隠しAPIというか、非公開のAPIは確かにあるね。ヘッダのダンプさえしてしまえば簡単に取り出せる
      アクセス権さえ取れてればアプリ範囲外のデータまで一応操作できる
      とはいえユーザー側の操作でアクセスを許可するダイアログを押さなきゃいかんからなぁ

      >サンドボックスをバイパスして既知の脆弱性を突く
      たぶんプライベートAPIのこと言ってんじゃないかな。書き方的にこの人自身の知識が薄そうだけど…

      まあなんにしろ、こういうのに引っかかるのは非公式は自己責任って理解できないアホか、情弱が背伸びして変なモン踏むくらいのもんでしょうな。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...