AppleのApp Storeに悪質アプリをアップロード、審査の甘さを研究者が指摘

研究チームは、正規アプリに見せかけたアプリにマルウェアのコードを分解して潜ませ、App Storeで公開することができてしまったという。

[鈴木聖子，ITmedia]

　米ジョージア工科大学の研究チームが、マルウェアの部品をしのばせたアプリを作成し、AppleのiOSアプリ販売サービス「App Store」の審査を通過させることに成功したと発表した。米マサチューセッツ工科大学のニュースサイトMIT Technology Reviewが伝えた。研究チームは、場合によってはわずか数秒でアプリを通過させてしまうApp Storeの審査プロセスの問題を指摘している。

　MIT Technology Reviewによると、研究チームは2013年3月、ニュースアプリに見せかけたアプリにマルウェアのコードを分解して潜ませ、App Storeに提出。このアプリはわずか数秒で審査を通過し、App Storeで公開できてしまったという。

　研究チームは審査を通過した後にマルウェアのコードを組み立てて、ユーザーが知らないうちにTwitterへの投稿や電子メールなどの送受信をしたり、端末から情報を盗んだり、ほかのアプリを攻撃するといった機能を持つマルウェア「Jekyll」を作り出すことに成功した。

　JekyllがApp Storeにアップロードされていたのはわずか数分間だったといい、この間に研究者が自分のiPhoneやiPadなどの端末にダウンロードして、自らを攻撃する実験を行った。しかし、一般ユーザーがダウンロードする前に、App Storeから削除したという。

　この発表を行った研究者はMIT Technology Reviewに対し、「Appleの審査ではアプリの静的な分析しか行っていない。しかし、それでは動的に生成されたロジックは簡単には見つけられず、十分とはいえない」とコメントしている。

　Appleの広報は、今回指摘された問題に対応して、iOSに変更を加えたと説明しているという。