Hacking Teamのスパイウェア、ジェイルブレイクされていないiPhoneにも感染

[エースラッシュ，ITmedia]

　イタリアのスパイウェア販売会社、Hacking Teamのスパイウェアが、ジェイルブレイクされていないiPhoneにも感染することが確認された。7月22日にLookoutが発表した。

　これまでHacking Team社のスパイウェアに感染するのはジェイルブレイクしたiOSデバイスに限定とされていた。しかしHacking Teamは数日前にAppleが無効にするまでAppleの企業向け証明書を所有しており、ジェイルブレイクしているかに関わらず、あらゆるWebブラウザ（ドライブバイ・ダウンロード）、フィッシングメール、その他の遠隔手段でもインストールが可能だったという。Hacking Teamは「Newsstand」アプリにスパイウェアを仕込み、この証明書を利用して多くのiOS端末にアプリを配布していたという。

スパイウェアがジェイルブレイクしていないiPhoneへインストールされた際の警告画面

　Appleは悪用を防ぐため、Apple Store以外でアプリをインストールする際はユーザーに注意喚起を促すセキュリティ警告を作成していた。しかし、このセキュリティ警告を無視しているユーザーが大半だと判明している。

　Hacking TeamがiOSデバイスにスパイウェアを忍び込ませる方法は、3つあると考えられている。1つはデバイスがUSB経由でMacに接続された際、OS XアプリがiOSアプリを自動的にダウンロードするケースで、古いバージョンのiOSで動作するジェイルブレイク攻撃とセットになっている。2つめがWindowsデスクトップアプリにも同様のことをするものがあること。3つめが、デバイス上でWebサイト・Eメールなどのリンクをクリックしてアプリをダウンロードすること。

　アプリがインストールされると、欲しいデータへのアクセス許可を要求。ユーザーが承認するとロケーション、カレンダー、連絡先のデータを追跡し、キーボードに打ち込まれた情報も入手する。Appleは、第三者が開発したキーボードは、パスワードフィールドとしてマークされている項目で作動できないようセーフガードを組み込んでいるが、ユーザー名、Eメールの内容、その他の機微データを盗むために悪用される恐れがある。

　Hacking Teamのスパイウェアがデバイスに忍び込んでいるかは、iOSの一般設定上で名前が空欄になっているアプリを探すことで確認できる。また、iOSの「設定」→「一般」→「キーボード」→「キーボード」にて、自分でインストールしたキーボードだけがデバイス上で設定されているかどうか、からも判断できる。

見えないアイコンと空白のアプリ（写真＝左）、キーボードの確認（写真＝右）