FireEyeのモバイルセキュリティ研究者は最近、AppleのApp Storeでも公開されている数千のアプリで使用されている人気の高い中国の広告ライブラリにバックドアを発見した。
セキュリティ意識の低い広告ネットワークは、数百万人のユーザーにマルウェアを一気に拡散させようとする悪意のあるハッカーにとって格好の標的となるようです。この手法は非常に効果的であるため、「マルバタイジング」という独自の名前が付けられています。
FireEye によると、バックドアはリモート サーバーから JavaScript コードをロードして iOS デバイス上で以下のアクションを実行することで制御される可能性がある。
音声とスクリーンショットをキャプチャするデバイスの位置情報を監視してアップロードするアプリのデータコンテナ内のファイルの読み取り/削除/作成/変更アプリのキーチェーン(アプリのパスワードストレージなど)の読み取り/書き込み/リセット暗号化されたデータをリモートサーバーに投稿するURLスキームを開いて、デバイスにインストールされている他のアプリを識別して起動するユーザーに「インストール」ボタンをクリックするように促すことで、App Store以外のアプリを「サイドロード」する
攻撃者は、広告会社adSageの広告ライブラリ「mobiSage」に侵入するだけで、iOSデバイスへの事実上完全なアクセスを得られる可能性があるようだ。adSageは米国にオフィスを構え、中国のモバイルユーザーの90%にリーチしていると主張している。
FireEyeは、2,846個のiOSアプリとmobiSage SDKバージョン5.3.3~6.4.4にバックドアコードを発見しました。また、最新バージョン7.0.5にはバックドアが存在しないことも確認しました。同社は、バックドアを制御するJavaScriptコードを配信する可能性のあるリモートサーバーへの接続試行を900回確認しました。
FireEyeの従業員による調査では、音声キャプチャや機密データの窃取といった最も危険な機能を起動させるような悪意のあるコマンドは確認されませんでした。しかし、バックドアコードを含むアプリには、これらすべての機能が存在しており、いつでも利用できる可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
iOSアプリがマルウェアに感染し、Appleの審査プロセスさえも回避してApp Storeに流入するケースは今回が初めてではありません。前回は、攻撃者がAppleのXcodeビルドに感染させ、それを使って構築されたアプリにさらなる感染を広げました。
iOSアプリに対するこれらの最新の攻撃の共通点は、中国で発生していることと、開発者が使用することで感染を拡大させる、感染したソフトウェア開発キットを介して発生することです。Appleが何らかの対策を講じるか、何千ものiOSアプリで使用されているコードをより厳格にレビューしない限り、この種の攻撃はますます頻繁に発生する可能性があります。
FireEye は 2015 年 10 月 21 日にこの問題について Apple に連絡し、すべての技術的詳細と感染したアプリケーションのリストを提供しました。
______________________________________________________________________
ルシアン・アルマスは2014年初頭にTom's Hardwareに入社しました。モバイル、チップセット、セキュリティ、プライバシーなど、テクノロジー業界におけるあらゆる関心事に関するニュース記事を執筆しています。Tom's Hardware以外では、起業家になることを夢見ています。
