楽しくiPhoneライフ!SBAPP

Apple製品全般の最新情報やアプリのレビューを毎日お届け!

【注意喚起】iOSメールアプリでiCloudのサインインを促すフィッシング詐欺に要注意

cat (1)
スポンサードリンク

iOSを搭載した機種(iPhoneやiPad)をターゲットとした精巧なフィッシング詐欺が横行するかもしれません。
セキュリティ研究者のJan Soucek氏が、iOSのメールアプリで攻撃者がリモートでHTMLコードの実行が出来る新たな脆弱性を見つけたようです。
この脆弱性を悪用することで、攻撃者のサーバーに入力内容が送信されるように偽造されたiCloudサインアップのポップアップを表示させるメールを送信する事が可能です。
メール本文やポップアップ内の文言は自由に変更する事が出来るので、iCloud以外のサービスを偽装するケースも考えられます。

問題のあるコードが公開されている

Jan Soucek氏はこの問題をiOS8.1.1の時に、Appleに詳しい内容(具体的なコード等)を開示せずに脆弱性を報告しているようです。
ですが、5ヶ月経った今でも改善されていない為、「脆弱性を再現できるコード」としてGitHubに脆弱性を再現する事が出来る各種ファイルをアップロードして公開に踏み切ったようです。
GitHubは誰でもファイルのダウンロードをする事が出来るので、今後悪用されるケースも増えてくるかもしれません。

実際の挙動と対策

GitHubで公開されているファイルを実際に動作させてみました。

メールの受信ボックスから問題のあるメールを開きます。
th_IMG_9951

メールを開いた直後に、IDやパスワードなどの情報を求めるポップアップがメール本文内に表示されます。

今回は例としてiCloudのサインインを促していますが、メール本文やポップアップの文言は変更する事が出来るので、AppleID以外の情報を求めてくるケースも考えられます。
(氏名、住所、クレジットカード、WEBサービスのID/PW..など)
th_IMG_9953
万が一、メールを開いた直後にポップアップが表示された場合は、具体的なIDやパスワードを何も入力せずに、左上の「受信」をタップしてメールボックスに戻り、悪意のあるメールを削除してください。
「cancel」などのボタンが表示されていたとしても、絶対にタップはしないようにしてください。

OKをタップしてしまうと..?

ポップアップのOKをタップしてしまうと一瞬Safariでページが開き、入力データが攻撃者のサーバーに送信されます。
送信後は自動でメールアプリに戻る仕組みになっています。
th_IMG_9956 (1)

また、転送後に表示させるメール文言も攻撃者が自由に変更する事ができます。
取得した情報を逆手にとって、何らかの脅迫(振込)などを要求する文言が表示されるケースも考えられます。
th_IMG_9954

受信者がポップアップに入力して送信したデータは、攻撃者のサーバー内にあるmydata.txtに保存される仕組みになっています。
2015-06-11 7.48.36

つぶやき

kogoto_prof
恐らくAppleも対応に向けて動いているとは思いますが、具体的にいつ修正されるのかは不明です。
早ければiOS8.4で修正されるかもしれませんが、遅ければ来月以降になると思います。
具体的な仕組みが気になる方は、GitHubからソースコードのダウンロードが出来るので、そちらを参照してください。

参考:9ToMac / GitHub

コメントはこちら

*
*
* (公開されません)

Return Top