iPhoneの新しい脆弱性に不安を感じていますか?心配は無用ですが、注意が必要です。
ブレア・ハンリー・フランク著
新たに公開されたiOSの脆弱性「Masque Attack」について、現在多くの議論が巻き起こっています。まるで世界の終わりのように、誰もがこの件について語っているようです。しかし、朗報があります。それは、世界の終わりではないということです。この脆弱性から身を守るために必要なのは、ほんの少しの常識だけです。
研究者ジョナサン・ジジアルスキー氏が最近論じたこの攻撃の本質は、次のようなものだ。悪意ある人物がiOSユーザーを誘導し、既にスマートフォンにインストールされているもの(例えばFlappy Birdなど)と同じ名前とバンドルIDを持つアプリケーションをダウンロードさせる。オペレーティングシステムは、悪意のあるアプリに署名されたセキュリティ証明書が「本物」のアプリに署名されたものと同一であることを確認しないため、クリーンなアプリが悪意のあるソフトウェアに置き換えられてしまう。
Appleによると、この攻撃が実際に使用されたという証拠はないとのことです。それには十分な理由があります。この攻撃を実際に実行するには、コストと時間がかかるからです。攻撃者がアプリを標的のユーザーのデバイスにインストールするには、スマートフォンまたはタブレットのユニバーサルデバイスID(UDID)か、年間299ドルかかるエンタープライズグレードのiOS開発者アカウントのいずれかが必要になります。
これらすべてを経た上で、攻撃者はユーザーにiPhoneまたはiPadにアプリをインストールさせ、実行させる必要があります。その過程で、Appleはいつでもアプリのセキュリティ証明書をリモートで失効させることができ、その結果、どのiOSデバイスでもアプリが実行できなくなる可能性があります。つまり、攻撃者は動作しない可能性のあるものに時間と費用を費やす必要があるのです。
つまり、Masque Attackから身を守る最善の方法は、App Storeからのみアプリをインストールすることです。もしアプリをサイドロードする必要がある場合は、信頼できる提供元から提供されていることを確認してください。これはおそらく、オープンウェブ上で人々が目にするような類のものではありません。通常のブラウジング習慣を持つ人々にとって、App Store以外からアプリをインストールするよう求められるような状況に遭遇することはまずないでしょう。
むしろ、この攻撃は特定の標的に対するスピアフィッシング攻撃の一環として実行される可能性が高いと考えられます。最も攻撃を受けやすく、最も危険なのは、デバイスにサイドロードする必要がある自社開発ソフトウェアに依存している企業です。それでも、常識を働かせることでこの攻撃を阻止することは可能です。アップデートを依頼しておらず、信頼できる人物からアナウンスされていない場合は、アップデートしないでください。
