パスワードを忘れた? アカウント作成
12114642 story
iOS

App Store以外からインストール可能なiOS向けワンクリック詐欺アプリ 23

ストーリー by hylom
iOSだからといって安心できる時代ではない 部門より

シマンテックによると、インストールすると高額な料金支払いを要求するというiOS向けの詐欺的アプリが確認されたという(マイナビニュース)。

Apple Store経由で配布されるiOSアプリではAppleの審査があるため詐欺的アプリの配布は困難だが、このアプリはApp Store以外からのインストールが可能になっているようだ。悪意のあるWebサイトにアクセスするとインストールを確認するダイアログが表示され、そこで「インストール」をクリックするとアプリがインストールされてしまうという。インストール時には「信頼されていないAppデベロッパ」との表示は出るものの、そこで「信頼」を選択するとインストールを継続できるという。その後、しばらくすると9万9,000円もしくは30万円の支払いを要求するという。

なお、このアプリが個人情報などを収集したり、端末への攻撃を行うようなことはないとのことで、もしインストールしてしまった場合、対処としては支払いを無視してアプリをアンインストールすれば良いとのこと。

このアプリの配布には、企業などが社員向けアプリを開発・配布するためのiOS Developer Enterprise Programが悪用されているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年06月08日 20時26分 (#2827442)

    日本人のレベルがこれだとしたら、もうどうにもならんわ。

    • by Anonymous Coward

      ???「ジャップにスマホは100年早かったな」

    • by Anonymous Coward

      別に日本人に限った話じゃないと思うけどな。

      • by Anonymous Coward on 2015年06月09日 11時18分 (#2827675)

        マイナビが「アダルトのワンクリック詐欺にひっかかるのは日本人ばかり」とか根拠不明なこと言ってるのがね
        シマンテックのページ見たら
        >日本語のワンクリック詐欺が 3 年間の沈黙を破って悪質な Android アプリとして再登場した
        って書いてあるのにね。

        親コメント
        • ・(当たり前ですが)シマンテックの記事は普通にマルウェアの説明をしているだけアフィ
          ・マイナビの記事では、シマンテックレスポンスブログの記事をネタにしていると書いてあるけど、その記事はおろか、シマンテックへのリンクも書いてないアフィ(責任転嫁目的ぽいアフィ)
          ・マイナビの記事本文にも根拠の説明なく唐突に「アダルトのワンクリック詐欺にひっかかるのは日本人ばかり」というアフィタイトルをつけるアフィ。

          まあ、マイナビもアフィサイトの仲間入りですね。

  • by Anonymous Coward on 2015年06月08日 21時45分 (#2827482)

    アプリの配布元はNeon Way Co., Ltd という韓国の会社のようだけど。
    この会社のアカウントが乗っ取られて悪用されているか
    Appleによるエンタープライズ会員登録の際の会社認証がゆるいか
    韓国社会の会社設立のための保証がゆるいか
    この会社が日本で詐欺を行っても安全だとおもっているか

  • by Anonymous Coward on 2015年06月08日 22時48分 (#2827510)

    > このアプリはApp Store以外からのインストールが可能になっているようだ。
    > 悪意のあるWebサイトにアクセスするとインストールを確認するダイアログが
    > 表示され、そこで「インストール」をクリックするとアプリがインストールされて
    > しまうという。

    それができないなら開発ができない。ま、iTunes経由で同期という手もあるけど。

    > このアプリの配布には、企業などが社員向けアプリを開発・配布するための
    > iOS Developer Enterprise Programが悪用されているようだ。

    だろうよ。先に書けばいい。

    • by Anonymous Coward

      本来ならできませんよ。

      ITMS以外のインストールするには回りくどいのですが
      iOSデバイスに認証とったプロビジョニングファイルを入れて
      それとペアリグして入れるやり方なので

      それを入れる方法そのままなのかが問題ですね。
      何もなければ入れられないはずです。

      同じなら同じで入れ方が謎ではあるが
      期限が存在するのだろうな

      • by Anonymous Coward

        知らないなら無理に喋らなくていいです

  • by Anonymous Coward on 2015年06月09日 0時38分 (#2827549)

    リンク先のスクリーンショットみたら、もろにAndroidなんだけど。
    しかも、これiOS側でひっかかるのは「デベロッパプログラムに入ってるユーザのみ」でしょ?
    脱獄もせずに、サードパーティのアプリをダウンロード出来るのは、セキュリティホールがある場合以外で聞いたことがない。

    • by Anonymous Coward on 2015年06月09日 7時42分 (#2827612)

      >しかも、これiOS側でひっかかるのは「デベロッパプログラムに入ってるユーザのみ」でしょ?

      違います。「配布元が」Enterprise Programに入っていれば、iOSに対してプログラムを配布できます。
      タレコミのリンク先参照。

      親コメント
    • by Anonymous Coward

      App store以外の経路から自分でアプリを探して入手し、パスワードを入力しまくってアプリをインストールし、
      自分で起動して警告も無視して実行し、9万9千円とか表示されている画面を確認の上、クレジットカード番号
      を入力したら詐欺成立ですか...
      で、個人情報の収集も感染動作も無し、と。
      って言うか何でこれが「iOSも危険」って文脈で語られるのか。
      普通にWebでオンライン買い物するよりずっと敷居が高いんだけどなあ...

      あえて記事にするなら、iOSで悪意のあるプログラムを作ろうとしてもこう言うものしか出来ません、と安全性
      をアピールするネタとしてしか使い様が無い気がするけど。
      PC起動してしばらく放置していれば、いつの間にかウィルス感染している某OSみたいなのとの比較記事とかに
      してさ。

      • by Anonymous Coward

        「iOSも危険」というほどの文脈はないように思います
        今まで悪用されてなかったDeveloper Enterprise Programの悪用が確認された、
        けどそれは任意の個人や団体が継続的にやるには申請に絡んだコストがかかって難しい
        アプリのインストール先を絞ってるからこそ問題視されるケースで
        どこからでも持ってこれる某OSとは問題点がちょっとずれてるように思います

        • by Anonymous Coward

          「アプリのインストール先」ではなくて「アプリのインストール元」か

    • by Anonymous Coward

      これは本来は企業内で社員にアプリを配布するためのエンタープライズ•プログラムによるOTA配布システム。年会費は通常の3倍、入会にあたってはD-U-N-S番号の取得が必要。なので配布している会社の身元ははっきりしている。
      社外にアプリを配布するのは規約違反。

      • by Anonymous Coward

        すいません、デベロッパプログラムに入った事が無いのでその配布システムがわからないのですが。
        それは、システム的に社外への配布が可能なんですか?
        だとしたら、もの知らずですいません。
        配布先についてもIMEI等の固有番号の設定等が必要なのかと思ってました。

        • by Anonymous Coward on 2015年06月09日 11時25分 (#2827682)

          普通のアプリ開発時の、実機テストの時には「実機のUDID埋め込んだプロファイル(1年に申請できるUDID件数に制限あり)」でないと
          インストール・デバッグ出来ない。

          Enterprise契約したときに作れるプロファイルだと、プロファイルにUDID埋め込まなくてもインストールできる仕組み。
          (普通は、UDID埋め込んでないプロファイルは、AppleのAppStore経由でないと入れれない)

          そのために、#2827592でも書かれていますが、Enterprise契約時には
          「社内・関係者以外に配布されないようにしなさい(WEBにあげたときにはアクセス制限など)」
          というしばりがあります。
          Appleにバレると契約解除されます。(今回のように、ユーザーが許可さえすればインストールできてしまう仕組みのため)

          親コメント
          • by Anonymous Coward

            絶対安全はずの林檎社のセキュリティは実際は他社以下の穴だらけだったってことですよね

            • by Anonymous Coward

              それだけ詳しい解説を読んでおいて、どうやってそういう結論を出せるか是非教えてほしいところですね。

    • by Anonymous Coward

      > リンク先のスクリーンショットみたら、もろにAndroidなんだけど。
      マイナビのはAndroidだけど、スラドのストーリーにリンクされているシマンテックの記事はiOSの記事。
      Androidで一度報告された(のをネタにマイナビの記事がかかれた?)後に、同様のマルウェアが
      iOS上でしかも一般ユーザにiTS以外のサイトからダウンロードされる形で配布されたのが、
      ある意味ニュースな訳ですね。

      > 脱獄もせずに、サードパーティのアプリをダウンロード出来るのは、セキュリティホールがある場合以外で聞いたことがない。

          まあ、上記のシマンテックの記事に事件の詳細と考察が日本語で丁寧に記載してあるので、
      そちらをご参照ください。

  • by Anonymous Coward on 2015年06月09日 1時40分 (#2827572)

    こんな危険なOS使いたくないですね...
    やっぱりGoogle最高だった

    • by Anonymous Coward

      煽りたいのはわかりますが
      危ないのはWindowsやAndroidですよ。
      あれは単体ダウンロード後に実行するだけですから
      AndroidはURL経由可能ですから危険をいうなら
      危険なデバイスそのものですよ。

      最高とは言えない筈です。
      楽といえば楽でしょうけどw

      • by Anonymous Coward

        今回のケースは、マルウェアの開発元がiOS Developer Enterprise Programに入っていたために、
        一般のユーザがApp Store以外からインストールできてしまったようです。
        その意味で、WindowsやAndroidと同レベルの保護水準にまで低下させられたといえますが、別にそれらのOSより劣っているわけではないですね。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...