サム・オリバー
· 1分で読めます
Apple のモバイル オペレーティング システムで最近発見された脆弱性により、攻撃者はユーザーを騙して、銀行アプリなどさまざまな個人情報にアクセスできる正規のアプリを、その情報を悪意のある人物に中継するハッキング バージョンに置き換えることができる可能性があります。
ハッキングされたアプリは、メールやウェブリンクを通じて配布され、iOSのエンタープライズプロビジョニングシステムを使ってインストールされる可能性があります。このシステムでは、App Store以外からアプリをデバイスに追加できます。セキュリティ企業FireEyeが「Masque attack(マスク攻撃)」と呼ぶこの脆弱性は、iOSが同じバンドルIDを使用するアプリのコード署名証明書が同一であることを検証していないために発生します。
例えば、バンク・オブ・アメリカのモバイルバンキングと同じバンドルIDを持つアプリを正規のバンク・オブ・アメリカのアプリに上書きインストールすると、正規のアプリのユーザーインターフェースを模倣しながら、ログインデータを攻撃者のサーバーに送信する可能性があります。Safariやメールなどのデフォルトアプリは影響を受けません。
FireEyeは7月26日にAppleにこの問題を報告しましたが、iOS 8.1.1ベータ版までのiOSバージョンは依然として脆弱性を抱えています。Appleは未だにこの公開情報に反応を示していません。
Masque攻撃は、フィッシングの高度な形態と言えるでしょう。フィッシングは、通常メールを介して拡散されるソーシャルエンジニアリング攻撃で、ユーザーを騙して、本物に見えるものの実際には偽のウェブサイトに機密情報を送信させます。ウェブブラウザやメールクライアントには、この攻撃を阻止するための特別な保護機能が組み込まれているにもかかわらず、フィッシングは依然として大きな問題となっています。
