公開日:2014/11/14 最終更新日:2015/10/21

JVNTA14-317A
Apple iOS に対する攻撃手法 Masque Attack
緊急

概要

Masque Attack と呼ばれる攻撃手法により、特定の条件のもとで、正規の Apple iOS アプリがマルウェアに置き換えられる可能性があります。

影響を受けるシステム

  • Apple iOS 7.1.1、7.1.2、8.0、8.1、8.1.1 beta

詳細情報

FireEye の研究者により、Masque Attack と呼ばれる攻撃手法が発見され、FireEye 社のブログで公開されています。

Apple iOS には、同一の bundle identifier を持つアプリをインストールする際、コード署名証明書が同一でなくてもインストールされてしまう問題があります。

Masque Attack ではこの問題を悪用し、既存アプリと同じ bundle identifier を持ったアプリを、Apple が提供する App Store や自社向けアプリを提供するための provisioning system 以外からインストールさせます。結果として、アプリが管理しているデータは削除されずに残されたまま、既存アプリの本体がインストールされたアプリに置き換えられます。

なお、Mobile Safari などプリインストールされているアプリは、影響を受けないとのことです。

想定される影響

この攻撃手法でインストールされたアプリにより次のような影響を受けることが想定されます。

  • 元のアプリに見せかけたログイン画面を提示することにより、認証情報などを取得される
  • 元のアプリが管理していたデータにアクセスされる
  • デバイスの活動を監視される
  • デバイスの root 権限を取得される
  • 本物のアプリと見分けがつかない

対策方法

Masque Attack 対策として、次の事項を推奨します。

  1. Apple の公式 App Store や自社が提供しているもの以外からアプリをインストールしない
  2. web ページ閲覧中に出てくるポップアップで「インストール」ボタンを押さない
  3. アプリを起動したときに信頼できない開発者である旨の警告が出たときは、「信頼しない (Don't Trust)」をクリックし、当該アプリをすぐにアンインストールする

ベンダ情報

ベンダ リンク
富士通 TA14-317Aに対する富士通の情報

参考情報

  1. FireEye Blog
    Masque Attack: All Your iOS Apps Belong to Us

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert TA13-317A
Apple iOS "Masque Attack" Technique
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2014/11/20
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました