パスワードを忘れた? アカウント作成
13648076 story
iOS

偽のモバイルデバイス管理サーバーからiPhoneに不正アプリを送り込む攻撃 17

ストーリー by headless
偽物 部門より
偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事The Registerの記事Ars Technicaの記事)。

この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。

改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。

MDMサーバーとC&Cサーバーに残されたログから、攻撃は2015年8月から行われていたことが判明している。攻撃者が自分の端末でテストした際のデータも残されており、電話番号やローミング状態などから攻撃者もインド国内にいたとみられている。一方、MDMの証明書はmail.ruドメインの電子メールアドレスが使われていたとのことで、ロシアからの攻撃を偽装しようとしていたようだ。

AppleはTalosが連絡した時点で既に3件の証明書について対策を行っており、Talosが報告した他2件の証明書についても対策を行ったとのことだ。今回の攻撃をソーシャルエンジニアリング的手法で誘導したとすれば、MDMにiPhoneを登録させるにはターゲットユーザーが証明書の追加を承認する必要があることから、Talosではクリックする前にもう一度考えるよう呼び掛けている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hakikuma (47737) on 2018年07月16日 15時29分 (#3443790)
    そもそも礼拝の時刻を知らせるアプリがあるってのがすげぇ

    こんなのわざわざアプリにしなくても、スマホ標準のリマインダー機能とかを使えばいいとは思うんだけどね。
  • by Anonymous Coward on 2018年07月16日 10時44分 (#3443721)

    MDMサーバーっていうのを使うとiPhoneに野良アプリをインストールできるの?

    • by Anonymous Coward on 2018年07月16日 12時05分 (#3443738)

      野良とは言わないが、社内アプリ用の証明書を信頼できるものとして設定し、Webサーバ上にあるその証明書で署名されているアプリをダウンロード、インストールするよう指示を出すことが出来る。
      一度MDMサーバ登録を受け入れたら、アプリのインストール程度は出来るし、できなきゃ何のためにあるんだかわからない。

      親コメント
      • by Anonymous Coward

        要するにWindows 10の[設定]-[更新とセキュリティ]-[開発者向け]で[アプリのサイドローディング]を選択した場合(デフォルトだけど)と同様か。

        • by Anonymous Coward on 2018年07月16日 13時55分 (#3443763)

          もっと強力で、ドメインに登録したような状態ですね。
          リモートで遠隔ロックやデータ消去も可能です。

          Windows10もMDM機能はあって、[設定]-[アカウント]-[職場または学校にアクセスする]で追加可能です。
          Microsoft Accountでサインインしていれば、管理画面 [microsoft.com]からMDM機能の一部(ロックやアプリのインストール指示)を利用できます。

          ソーシャル的な手法としては、iPhone着せ替えとか公衆無線LANとかMVNO接続プロファイルと偽装して[構成プロファイル]の設定をさせたのではないかと思います。
          ※この手の非MDMな構成プロファイルは未署名で配布が一般化してるので、悪意ある公衆無線LANですり替えられても気づかない可能性があります。

          一応MDMが有効化される警告が出ますが、気にせず許可する人も一定数は居るかもしれません。
          店舗で勝手にプリインストールも同手法なのでそちらの可能性もありますが。

          親コメント
    • by Anonymous Coward on 2018年07月17日 7時37分 (#3443972)

      MDMサーバと言うかソリューションとしてMDMの仕組みがあれば
      Storeアプリ、非Storeアプリともに遠隔で強制インストールが可能です(非ストアアプリをHTTPSサイトからのインストール可)
      当然事前にMDMへ登録が必須となり、そのためにはiPhoneの物理的に操作が必要です

      ※MDMがあったとしても、非Storeアプリのインストールはandroidの野良アプリの様に何でもインストールできる訳ではなく、ADEPに登録したAppleIDで作成したアプリのみ配信可能です(InHouseアプリ)
      ADEPで作成したアプリはMDMが無くても事前に証明書をインストールし、信頼しておけばHTTPSのサーバからダウンロードし実行する事も可能です

      親コメント
  • iOSでのデバイスおよび企業データの管理 [apple.com]

    絶対に削除してほしくないアプリとか使用を禁止したいアプリありますよね?
    個々の端末のアプリケーションの一覧を確認したり、上記みたいな例が出たら警告メールを送ったり
    そのためにMDMなんて仕組みですね。

    エンタープライズモバイル管理(EMM)とかモバイルアプリケーション管理(MAM)なんて風にも呼ばれることがあります。

    • by Anonymous Coward on 2018年07月17日 2時33分 (#3443948)

      そういうことが出来るMDMって、もはやマルウェアと変わらないんですけどね。
      実際に除外指定しなければアンチウイルスはマルウェアと判断することも多いし、
      仕様的に「情シスは善良である」と仮定して端末にバックドアを仕込む仕組みなので、
      その権限を乗っ取られた場合の惨禍も「このザマだよ」って状態です。

      というか、旧来から「情シス」って部署は「管理したがる」んだけど、その「管理」が
      どのくらいの生産性があって、会社に貢献したことがあるのか考えた方がいいですね。

      本来は業務効率改善のためのIT戦略を組み立てなければならない役割は放置で「管理」にだけ
      全力を注いでていたり、ましてやその「管理」が全社的な業務効率の足を引っ張っていたりで、
      半数以上の会社の「情シス」が嫌われる部署になっている現状を直視した方が・・・と。

      親コメント
      • by Anonymous Coward

        大手のIT品質保証部門にも言ってやってくれ
        あいつら古臭い技法で足引っ張ることしかしやがらない
        SIerもちゃんと事前対策と日程を組み込んでくれ

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...