App Store以外で流通するiOS向け詐欺アプリ - 「信頼する」ボタンを押す前に一考を
シマンテックは、iPhoneやiPadなどiOSの利用者を狙った詐欺アプリが出回っているとして注意を呼びかけた。アダルトサイト経由で流通しているという。
問題のアプリは、これまでもAndroid端末ユーザー向けに流通してきたが、あらたにiOS版が用意され、悪質なアダルトサイトで、インストールさせようとする攻撃が発生しているという。
App Storeで公開されているわけではなく、拡散には「iOS Developer Enterprise Program」が利用されている可能性があり、ジェイルブレイクによりルート権限を取得していない端末であっても、誤ってインストールしてしまうおそれがある。
具体的に攻撃の流れをみると、問題の詐欺サイトでは、再生ボタンに見せかけたリンクを用意。誤ってクリックすると、アプリのインストールを求めるポップアップが表示される。
「信頼されていないAppデベロッパのアプリ」であり、アプリを信頼するかどうか、ポップアップにより確認を求められるが、ここで「信頼する」を選択をしてしまうと、アプリがインストールされてしまう。アプリを起動すると会員ページを表示、料金の請求などを求められる。
シマンテックによれば、現状確認されている不正アプリは、単に不正な料金の請求を表示する機能しか持っておらず、デバイスから情報を窃取するといった行為は行わないという。支払いの要求を無視し、アンインストールすれば被害は避けられる。しかし、今後より悪質なアプリも発生するおそれがあり注意が必要だ。
今回悪用された可能性がある「iOS Developer Enterprise Program」。登録すれば、企業や組織が独自のアプリを配布することができるようになるプログラムだ。
通常iOSでは、ジェイルブレイクを行っていないとApp Store以外からアプリをインストールできないと思っているユーザーも多いとシマンテックは指摘、その「安心感」を逆手に取った攻撃と言える。
「iOS Developer Enterprise Program」を利用するには、Appleへ登録し、料金を支払う必要があるため、誰でもすぐに悪用できるものではない。今回の攻撃では、攻撃者自身が登録したのか、すでに登録している第三者のアカウントを悪用したのか詳細はわかっていないという。
(Security NEXT - 2015/06/04 )
ツイート
関連リンク
PR
関連記事
Cisco、セキュリティアドバイザリ8件を公表 - 脆弱性18件に対応
米当局、1月は14件の脆弱性悪用について注意喚起
先週注目された記事(2025年1月26日〜2025年2月1日)
「FortiOS」ゼロデイ脆弱性 - 詳細や概念実証が公開
「FortiOS」に複数脆弱性 - 一部で悪用報告も
米当局、Apple製品に見つかったゼロデイ脆弱性に注意喚起
Apple、「iOS 18.3」を公開 - ゼロデイ脆弱性などへ対応
ゼロデイ脆弱性に対応した「macOS Sequoia 15.3」など公開 - Apple
4Qの「JVN iPedia」登録は6894件 - 「NVD」公開遅延で減少
先週注目された記事(2025年1月19日〜2025年1月25日)