iPhoneを狙う強力なスパイウェアが登場

次の記事

スマートフォン出荷台数は2020年に回復へ(ガートナー調査)

セキュリティ研究者は、当初Android用に設計された強力な監視アプリが、今やiPhoneユーザーをターゲットにしていることを発見した。

このスパイアプリは、モバイルセキュリティ会社Lookoutの研究者が見つけ出したもの。その開発者は、Appleが発行したエンタープライズ用の証明書を悪用してApp Storeをバイパスし、無警戒な被害者のデバイスに感染させるのだ。

このアプリは、キャリア支援ユーティリティを装っている。いったんインストールされると、密かにユーザーの連絡先リスト、音声録音、写真、ビデオ、その他のデバイス情報、さらにはリアルタイムの位置情報までも入手することができる。遠隔操作によって、デバイス周囲の会話を聞くことさえできるという。誰が標的にされたのかを示すデータはないが、研究者によれば、このマルウェアを供給していたのは、イタリアとトルクメニスタンの携帯電話会社を装う偽サイトだった。

研究者は、以前に発見されたAndroidアプリの開発者との関連を指摘している。そのアプリは、やはりイタリアの監視用アプリメーカー、Connexxa社によるもの。同社のアプリは、イタリアの捜査当局に採用されていることでも知られている。

そのAndroidアプリとは、Exodusという名で、犠牲者となった数百人は、自らそのアプリをインストールしたか、インストールさせられていた。Exodusは多様な機能を持ち、さらに追加のコードを勝手にダウンロードしてスパイ機能を拡張することもできる。それによって、デバイスのrootアクセスを取得し、そのデバイスのほぼすべてのデータにアクセスすることが可能となる。つまり、電子メール、キャリア関連データ、Wi-Fiのパスワード、その他多くのデータが曝されてしまう。これはSecurity Wthout Bordersの見解だ。

普通のiPhoneアプリのように見えるスクリーンショット。それでいて、密かに被害者の個人データやリアルタイムの位置情報などを、スパイウェア企業のサーバーにアップロードしている

どちらのアプリも、バックエンドとして同一のインフラを利用している。ただし、iOS版の方が、いくつか特別なテクニックを使っている。たとえば、証明書のピンニングなどにより、ネットワークトラフィックの解析を困難なものにしている。これをTechCrunchに説明してくれたのは、Lookoutのシニア・スタッフ・セキュリティ・インテリジェンス・エンジニアのAdam Bauer氏だ。

「これは、このソフトウェアの開発に、専門家グループが関与していることの1つの証拠です」と、彼は言う。

Android版はGoogleのアプリストアから直接ダウンロードできようになっていたが、iOS版については広く配布されたわけではない。そうする代わりConnexxaは、Appleが開発者に対して発行したエンタープライズ向けの証明書を使ってアプリに署名した、とBeauer氏は述べている。それによって、この監視アプリのメーカーは、Appleの厳密なApp Storeのチェックを回避したのだ。

Appleは、これはルール違反だとしている。証明書はあくまで社内アプリ用であり、それを外部の一般ユーザーが利用できるよう流出させることを禁止しているからだ。

これは、他の何社かのアプリメーカーと似たような手口を使ったもの。TechCrunchが今年のはじめに発見したように、エンタープライズ用の証明書を悪用して、Appleのアプリストアの精査を回避するモバイルアプリを開発する手法だ。App Storeを通して供給されるすべてのアプリは、Appleによる認証を受けなければならない。でなければ、そもそも動作しない。しかし、FacebookGooleをはじめとする何社かは、自社内でのみ利用可能なエンタープライズ証明書を使って署名したアプリを、外部のユーザーに渡していた。Appleは、これはルール違反であるとして、FacebookとGoogleが使用していたエンタープライズ証明書を無効にすることで、それらのアプリが実行できないようにした。その結果、両社の違法なアプリが利用不可になっただけでなく、同じ証明書で署名されていた他のすべての社内用アプリも動かなくなった。

Facebookは、丸1日の間、Appleが新しい証明書を発行してくれるまで、通常の業務を遂行することができなかった。

AppleがConnexxaに発行した証明書(画像:提供)

しかも、エンタープライズ用の証明書を悪用していたのは、FacebookとGoogleだけではない。TechCrunchの調査では、何十ものポルノとギャンブルのアプリが、App Storeの認可を受けず、エンタープライズ証明書で署名され、Appleが定めたルールを迂回していた。

今回の研究者による調査結果の公開を受けて、AppleはConnexxaのエンタープライズ証明書を無効にし、すでにインストールされていた同社のアプリをすべてオフラインにして実行できなくした。

それによって、どれだけのiPhoneユーザーが影響を受けたのか、研究者には不明だという。

Connexxaは、コメントのリクエストに応えなかった。Appleもコメントを避けた。

原文へ

(翻訳:Fumihiko Shibata)