米国土安全保障省(DHS)の情報セキュリティ対策組織であるUS-CERTは現地時間2014年11月13日、米AppleのiOSを狙った攻撃手口「Masque Attack」について情報を公開した。同手口では、正規のiOSアプリケーションをマルウエアに置き換え、ユーザー情報を盗もうとする。
Masque Attackは、米セキュリティ企業のFireEyeによって確認された。影響を受けるiOSはバージョン7.1.1、7.1.2、8.0、8.1、および8.1.1ベータで、FireEyeによればジェイルブレイクしていない端末も対象となる。
この攻撃手口は、企業が社内用アプリケーションをiOS端末に配備するための仕組み「Enterprise Provisioning」を悪用し、ユーザーに公式アプリケーションストア「App Store」以外のソースからアプリケーションをインストールさせる。
正規アプリケーションと同じバンドルIDを用いた不正アプリケーションのインストールを許可してしまう脆弱性により、iOSに標準搭載されているアプリケーションを除くすべての正規アプリケーションが置き換えられる危険性がある。
不正アプリケーションは正規アプリケーションを装いながら、ユーザーのログイン情報を入手するほか、ローカルのデータキャッシュから重要情報を収集する。バックグラウンドで端末を監視し、ルート権限を奪おうとする。
US-CERTとFireEyeはユーザーに対し、公式ストア以外のソースからアプリケーションをインストールしないこと、アプリケーション起動時に警告が表示されたら、「Don't Trust」ボタンをタップしてただちにアンインストールすることなどを呼びかけている。
FireEyeはMasque Attackの詳細を11月10日のブログ記事で説明している。同社は問題の脆弱性について7月にAppleに報告済みだという。
[発表資料へ]
