偽のモバイルデバイス管理サーバーからiPhoneに不正アプリを送り込む攻撃 17
ストーリー by headless
偽物 部門より
偽物 部門より
偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事、
The Registerの記事、
Ars Technicaの記事)。
この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。
改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。
この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。
改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。
MDMサーバーとC&Cサーバーに残されたログから、攻撃は2015年8月から行われていたことが判明している。攻撃者が自分の端末でテストした際のデータも残されており、電話番号やローミング状態などから攻撃者もインド国内にいたとみられている。一方、MDMの証明書はmail.ruドメインの電子メールアドレスが使われていたとのことで、ロシアからの攻撃を偽装しようとしていたようだ。
AppleはTalosが連絡した時点で既に3件の証明書について対策を行っており、Talosが報告した他2件の証明書についても対策を行ったとのことだ。今回の攻撃をソーシャルエンジニアリング的手法で誘導したとすれば、MDMにiPhoneを登録させるにはターゲットユーザーが証明書の追加を承認する必要があることから、Talosではクリックする前にもう一度考えるよう呼び掛けている。
そもそも (スコア:2)
こんなのわざわざアプリにしなくても、スマホ標準のリマインダー機能とかを使えばいいとは思うんだけどね。
Re: (スコア:0)
方位表示もしてくれるんじゃないかな
私の大切な故郷もみんな 逝ってしまいますか (スコア:2)
二〇三高地(映画)で、皇居に遙拝する場面があるのを連想しました。
// 作中では「皇居」ではなく、別の単語が使われていたような気がするのですが、思い出せません
死して屍 拾う者なし
Re: (スコア:0)
さらに、イスラム教だと日の出と日没時刻によってお祈り時間が変動するんで
そんなアプリが今はあるんだよ、みたいなことを池上彰の番組でやってたような。
モバイルデバイス管理(MDM)サーバー (スコア:0)
MDMサーバーっていうのを使うとiPhoneに野良アプリをインストールできるの?
Re:モバイルデバイス管理(MDM)サーバー (スコア:1)
野良とは言わないが、社内アプリ用の証明書を信頼できるものとして設定し、Webサーバ上にあるその証明書で署名されているアプリをダウンロード、インストールするよう指示を出すことが出来る。
一度MDMサーバ登録を受け入れたら、アプリのインストール程度は出来るし、できなきゃ何のためにあるんだかわからない。
Re: (スコア:0)
要するにWindows 10の[設定]-[更新とセキュリティ]-[開発者向け]で[アプリのサイドローディング]を選択した場合(デフォルトだけど)と同様か。
Re:モバイルデバイス管理(MDM)サーバー (スコア:5, 参考になる)
もっと強力で、ドメインに登録したような状態ですね。
リモートで遠隔ロックやデータ消去も可能です。
Windows10もMDM機能はあって、[設定]-[アカウント]-[職場または学校にアクセスする]で追加可能です。
Microsoft Accountでサインインしていれば、管理画面 [microsoft.com]からMDM機能の一部(ロックやアプリのインストール指示)を利用できます。
ソーシャル的な手法としては、iPhone着せ替えとか公衆無線LANとかMVNO接続プロファイルと偽装して[構成プロファイル]の設定をさせたのではないかと思います。
※この手の非MDMな構成プロファイルは未署名で配布が一般化してるので、悪意ある公衆無線LANですり替えられても気づかない可能性があります。
一応MDMが有効化される警告が出ますが、気にせず許可する人も一定数は居るかもしれません。
店舗で勝手にプリインストールも同手法なのでそちらの可能性もありますが。
Re:モバイルデバイス管理(MDM)サーバー (スコア:1)
MDMサーバと言うかソリューションとしてMDMの仕組みがあれば
Storeアプリ、非Storeアプリともに遠隔で強制インストールが可能です(非ストアアプリをHTTPSサイトからのインストール可)
当然事前にMDMへ登録が必須となり、そのためにはiPhoneの物理的に操作が必要です
※MDMがあったとしても、非Storeアプリのインストールはandroidの野良アプリの様に何でもインストールできる訳ではなく、ADEPに登録したAppleIDで作成したアプリのみ配信可能です(InHouseアプリ)
ADEPで作成したアプリはMDMが無くても事前に証明書をインストールし、信頼しておけばHTTPSのサーバからダウンロードし実行する事も可能です
Re: (スコア:0)
MDM使って証明書を信頼済みにしているんだから、「厳密」も糞もない。
法人端末とか組織で管理するものには必須と言ってもいいですね (スコア:0)
iOSでのデバイスおよび企業データの管理 [apple.com]
絶対に削除してほしくないアプリとか使用を禁止したいアプリありますよね?
個々の端末のアプリケーションの一覧を確認したり、上記みたいな例が出たら警告メールを送ったり
そのためにMDMなんて仕組みですね。
エンタープライズモバイル管理(EMM)とかモバイルアプリケーション管理(MAM)なんて風にも呼ばれることがあります。
「組織で管理」の有害性 (スコア:1)
そういうことが出来るMDMって、もはやマルウェアと変わらないんですけどね。
実際に除外指定しなければアンチウイルスはマルウェアと判断することも多いし、
仕様的に「情シスは善良である」と仮定して端末にバックドアを仕込む仕組みなので、
その権限を乗っ取られた場合の惨禍も「このザマだよ」って状態です。
というか、旧来から「情シス」って部署は「管理したがる」んだけど、その「管理」が
どのくらいの生産性があって、会社に貢献したことがあるのか考えた方がいいですね。
本来は業務効率改善のためのIT戦略を組み立てなければならない役割は放置で「管理」にだけ
全力を注いでていたり、ましてやその「管理」が全社的な業務効率の足を引っ張っていたりで、
半数以上の会社の「情シス」が嫌われる部署になっている現状を直視した方が・・・と。
Re: (スコア:0)
大手のIT品質保証部門にも言ってやってくれ
あいつら古臭い技法で足引っ張ることしかしやがらない
SIerもちゃんと事前対策と日程を組み込んでくれ
Re: (スコア:0)
それ自体は攻撃手段の概要として普通に使われる言葉だよ。
> デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている
むしろこっちかな。これ以外の方法って販売前に埋め込む以外ないんじゃない???ってくらいすべての可能性を網羅してるw
Re:「ソーシャルエンジニアリング的手法」 (スコア:2)
いやいや、リモートからセキュリティホールをつくようなハッキングではないことを言ってるんだろ。