セキュリティアナリスト、偽の携帯キャリアアプリがiPhoneの位置情報を追跡し、通話を盗聴していることを発見c
セキュリティアナリストのLookoutは、企業向け配信プログラムの新たな悪用事例として、イタリアとトルクメニスタンの携帯電話事業者が発行したように見せかけたアプリを特定しました(TechCrunch経由)。これらのアプリは企業証明書で署名されていたため、iPhoneユーザーはSafariからダウンロード可能でした。これらのアプリは通信事業者のブランドを悪用し、ユーザーの携帯電話プラン向けのユーティリティを提供しているように見せかけていましたが、実際には位置情報の追跡、連絡先や写真の収集など、あらゆる権限を要求し、ユーザーの通話を盗聴する機能も備えていました。
エンタープライズ証明書を使用するアプリは App Store からは入手できませんが、悪意のある犯罪者は Safari 経由で iOS ユーザーをターゲットにし (おそらくフィッシング攻撃風の電子メールを使って)、App Store のレビュー プロセスの範囲外で Web 経由でアプリをダウンロードさせる可能性があります。
基本的に、アプリがエンタープライズ証明書付きで配布される場合、そのアプリが何を実行できるかについて責任は問われません。開発者がエンタープライズ証明書を申請する際、Appleはアプリは企業の従業員にのみ配布し、他の場所では使用してはならないことを明確に示します。しかし、現状では、Appleがこれを強制するために、勧告的な文言で示す以外にできることはほとんどありません。
今年は、FacebookやGoogleの不正操作といった注目を集めた事例を含め、エンタープライズシステムの悪用が数え切れないほど発生しました。Appleは個別の事例を把握次第、証明書を失効させますが、エンタープライズ証明書プログラム全体を管理できていないことは明らかです。iOSの将来のソフトウェアバージョンでは、Appleはエンタープライズプログラムのセキュリティを強化するために、より厳しい要件を課す可能性があります。しかし、Appleはまだそのような計画を明言していません。
証明書は盗難や転売されることが多く、かつては正当に使用されていたエンタープライズ開発者プログラムのライセンスが、今では悪用されています。Lookoutが指摘したアプリの場合、Androidに存在していた「Exodus」と呼ばれる類似のマルウェアと関連しているようです。
一般ユーザーは、App Store以外からアプリをダウンロードしないことで、自分自身を守ることができます。正規の携帯電話会社は、顧客に自社のウェブサイトからアプリをインストールするよう求めることはありません。
criove.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
![[更新:提供開始] watchOS 6.2.5、サウジアラビアでApple Watchの心電図と不整脈の通知に対応c](https://image.criove.com/miommiod/0a/43/Incipio_9to5Mac_Banner-Ad_Available.webp)
![Apple、macOS Monterey ベータ9を開発者向けに公開 [更新:パブリックベータも]c](https://image.criove.com/miommiod/62/6e/macos-monterey-hero.webp)
