MITのテクノロジーレビューによると
一見ニュースリーダーに見えるアプリの中に、勝手に電話をかけるプログラムを仕込んだアプリを試験的にApp storeにリリースしたところ、Appleのsecurity規約にスクリーニングされず、問題なくリリースされたとのこと(自発的に削除済み)。
どんなアプリだったか
インストール後は、攻撃者のリモート環境からiPhoneに接続し、テキストメッセージを送信、E-mailを送信、勝手に電話をかける、リブートする、Tweetするなどが行える状態になり、攻撃者にとってはやりたい放題の状況になってしまうのでありました。
具体的な攻撃対象は?
ご覧の通り、現在動いている殆どのiPhone/iPadが搭載しているOSで攻撃されてしまうっていう無惨な結果。
iOS5.xシリーズに至っては、kernelが攻撃されてしまうってことで、この実験ではリブートしかしていないってだけで、実際にはもっと色んなことができちゃうよねっていう想像は難しくない。
Appleの反応は?
テクノロジーレビューを受けて、Appleは「OK! 理解した! 対応した!」と言ってるとのことだけど、記事ではセキュリティ規約がどのように変わったかは提示されていないし、過去にも同様な事があったにもかかわらず、今回も起きているということから、セキュリティ規約を疑問視しているようです。
我々はどうするか
Androidのセキュリティ事故を散々揶揄していたAppleサイドだけど、App Storeも完璧じゃないということが二度目のhackで証明されてしまったわけで。
怪しいアプリはインストールしないっていうのは月並みな対処法になってしまうけど、一番効果が高い。
仕事でiPhoneを使っていたりして、重要情報を格納している人たちや、会社からiPhoneを支給されていてセキュリティ事故を起こすとクビになっちゃう人たちは、特に気をつけた方がよさそうですな。
安全神話は永久には続かないわけだから、ある程度リリースされてから枯れてきたアプリなんかをインストールするのが安心ですな。
機種変更して使わなくなったiPhoneにアプリをインストールしてみて、外部との通信をwiresharkなんかでキャプチャしてみてもいいかもね。
こういうMalwareはどのみち外部と通信しないことには攻撃者もインストールさせる意義がないってことだから、かならず怪しげな通信をしてるしね。
Antinny(通称キン●マウィルス)の再来も近い
Winnyが日本で社会現象になった時期があったけど、そのときに社会現象の一端を担いでいたのはまぎれもなくAntinnyの存在だった。
既得権益に毒されているマスコミなんかは、Winnyのファイル交換に関する違法性、著作権の侵害を大々的に訴えたけど、その裏で動いている大胆かつ辛辣なプライバシー侵害事故を大きくは報道しなかった。
AntinnyはWinnyを動作させているPC内のドキュメントをzip圧縮して、不特定多数にWinny経由で拡散させるというまさにガイキチのごときプライバシー侵害ウィルスなんだけど、これには被害者もたくさん出ている。
何度かあったのが、彼氏がWinnyを使っていたがために、何の罪もない彼女のプライベートな写真が大量に公開されてしまうというような事故だ。
これと同様のウィルスがiPhoneに入り込んでしまったら、どうなるか。
自分のスマートフォン内の写真を一瞥すると、その答えが見えてきますね。
0 件のコメント:
コメントを投稿