ファイア・アイは11月14日、iOSの脆弱性を狙い、正規アプリを不正アプリに置き替える攻撃「Masque Attack(マスク攻撃)」について解説した。

正規のGmailアプリが不正アプリに書き換えられた例

Masque Attackは、正規・不正アプリの両方が同じバンドル識別子で認識できないという脆弱性を狙ったもの。感染したiOS端末は、ユーザーが特殊なアプリをインストールしてしまうと、端末内のサードパーティ製の正規アプリが不正アプリに置き換わってしまう。

狙われる可能性があるのはiOS 7.1.1/7.1.2/8.0/8.1/8.1.1。正規版のほかに、脱獄(Jailbreak)した非正規版も含まれる。侵入経路は、無線ネットワーク経由とUSB経由のアプリダウンロードの2種類。

攻撃者は、電子メール・アプリや銀行アプリのログイン情報を盗み出す。不正アプリの画面構成は正規のアプリを模倣しているので同じ。ユーザーをログイン情報を入力させ、取得した情報をリモートサーバーに送信する。

また、置き換えられた正規アプリに保存されているローカルデータを盗む。電子メールのローカルキャッシュを盗み出し、リモートサーバーにアップロードしたケースを確認した。データのほかに端末のルート権限を盗むことも可能だ。

正規・不正アプリのバンドル識別子が同一であることから、不正をモバイルデバイス管理(MDM)上で見つけることが難しくなっている。各アプリの証明証情報を入手するMDM APIはないためだ。