iOSの「Masque Attack」脆弱性、FacebookやChromeのアプリで悪用

TwitterやFacebook、Google Chromeなどの大手アプリがリバースエンジニアリングされ、センシティブなデータを収集してリモートのサーバと通信するためのコードが挿入されていた。

» 2015年08月07日 07時12分 公開
[鈴木聖子ITmedia]

 正規のiOSアプリをマルウェアに置き換えてしまう「Masque Attack」という攻撃手法が発見された問題で、TwitterやFacebook、Google Chromeなどの大手アプリがリバースエンジニアリングされ、この手口に利用されていたことが分かったという。セキュリティ企業のFireEyeが8月5日のブログで伝えた。

 Masque Attackの脆弱性は、iOSで同じバンドル識別子(Bundle Identifier)を持つアプリに対して証明書の照合が行われないことに起因していた。FireEyeが2014年11月に発見し、Appleは2015年1月に公開した「iOS 8.1.3」で修正している。この手口を実際に使った攻撃はこれまで確認されていなかった。

 しかしFireEyeがイタリア企業Hacking Teamから流出した情報を調べたところ、Masque Attackの手口を使ったiOSアプリが11本見つかったという。標的型iOSマルウェアが脱獄させていないiOS端末に対して使われていることを確認したのは、初めてだとしている。

脆弱性悪用で多数のアプリから情報が抜き取られる(FireEyeより)

 利用されていたのはWhatsApp、Twitter、Facebook、Facebook Messenger、WeChat、Google Chrome、Viber、Blackberry Messenger、Skype、Telegram、VKといった大手のSNSやメッセージングアプリ。それぞれリバースエンジニアリングされ、センシティブなデータを収集してリモートのサーバと通信するためのコードが挿入されていた。

 具体的には標的とするユーザーの端末から、Skypeの音声通話記録やFacebook Messengerで交わしたメッセージ、ChromeのWeb閲覧履歴、SMSやiMessageの内容、GPSの位置情報、連絡先情報、写真などの情報を収集して、リモートのサーバに送信する仕組みになっていたという。

 これらアプリでは、App Storeで配信されている正規アプリと同じバンドル識別子が使われていて、正規アプリに置き換えることが可能だった。

 この脆弱性が修正されたiOS 8.1.3以降では、同じバンドル識別子を持つアプリの入れ替えはできなくなっている。しかしFireEyeによれば、バンドル識別子はリモートの攻撃者が設定することもできるため、8.1.3以降のiOSでも攻撃者が固有のバンドル識別子を使って不正なアプリを仕込むことは可能だという。

 Hacking Teamの情報流出事件では、iOSに対する高度な標的型攻撃が浮上し始めている実態が浮き彫りになったとFireEyeは解説し、ユーザーは常にiOSを最新の状態に保つなどの注意が必要だと促している。

脆弱性を悪用した攻撃の手順(同)

Copyright © ITmedia, Inc. All Rights Reserved.