Apple iPhone、iPad iOS 9のセキュリティ上の欠陥により、悪意のあるアプリがエンタープライズデバイスに侵入する

iOS 9以来、Appleはエンタープライズアプリケーションを信頼するという基準を掲げている。

セキュリティ会社のチェックポイントの研究者は、悪意のあるアプリをインストールするために悪質なエンタープライズ開発者証明書に依存していた以前の方法を利用して、iPhoneとiPadを攻撃する新しい方法を発見しました。

Appleはエンタープライズ証明書を提供し、企業がApp Store外でアプリを配布したり、Appleのアプリレビュープロセスを実行したりすることはありません。

iPhone 6は、パフォーマンス、カメラの品質、新しい3D Touchテクノロジーの点で、iPhone 6よりも大幅に改善されています。

しかし、これらの証明書は悪意のあるアプリに署名するために過去にハイジャックされています。 iOS 9の前に、エンタープライズアプリケーションをインストールしようとするユーザーは、App Storeから信頼されていない開発者からアプリをインストールするには、「信頼」を1回タップする必要があります。

攻撃のバリエーションにより、犯罪者はセキュリティ警告を無視する傾向を利用して、非jailbroken iOSデバイスにマルウェアをインストールすることができました。

最近の例には、YiSpecter、WireLurker、XCodeGhost、およびイタリアのスパイウェアベンダーHacking Teamのマルウェアなどがあります。また、App Store外からアプリを入手するのが一般的である中国のユーザーにとっても、大きな脅威となっています。

iOS 9以来、Appleは、アプリを実行する前に信頼されていない開発者を確認するために、ユーザーが設定の複数のステップを踏むよう要求することによって、エンタープライズアプリケーションを信頼するという基準を上げている。

AppleはiOS 9.3をリリースし、重要なiMessageのセキュリティ上の欠陥を修正している;いいえ、あなたはあなたのiPhoneのパスコードを迂回するためにSiriを使用することはできません;あなたのiPhoneはほとんど確実にAceDeceiverマルウェア

しかし、チェックポイントは、エンタープライズアプリケーションをインストールする際のiOS 9の複雑さに対処するため、モバイルデバイス管理(MDM)システムによってインストールされたすべてのアプリケーションを信頼するように設計しているという。

BYODおよび企業のデバイスは、企業が管理するMDMプラットフォームを使用して登録した後、集中管理することができます。

このシナリオの潜在的な弱点と、アップルのコントロール外にある弱点は、MDMプラットフォームがman-in-the-middle攻撃に対して脆弱である可能性があることです。

それでも、この弱点を悪用するには、悪意のある設定プロファイルをインストールするために標的を騙さなければなりません。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

設定プロファイルはApple Configuratorで作成され、Webページ、電子メールなどで配布して、VPN、Wi-Fi、クレデンシャルなどの機能を制御することができます。

例えば、アップル社は構成プロファイルをベータテスターに​​配布していますが、CheckPointは攻撃者がMDMからメッセージを切り替えるために使用する可能性があることを強調しています。

「この悪意のあるプロファイルをインストールすると、攻撃者はデバイスとMDMソリューション間の通信にman-in-the-middle(MitM)攻撃を行うことができ、iOSが信頼するMDMコマンドを乗っ取り、模倣することができます。エンタープライズアプリを大気中にインストールする機能を備えています。

「iOSはこれらのアプリケーションを信頼しているため、インストールプロセスはユーザーにとっては馴染みが深いため、感染はシームレスで即時です。

CheckPointはこの脆弱性SideStepperを呼び出し、2015年10月にアップルに報告した。しかし、Appleはその動作が「期待されている」と報告した。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に非セキュアとしてラベルを付けるようにする

Hyperledgerプロジェクトはギャングバスターのように成長しています

レビュー

iPhoneのセキュリティ