iPhone / iPad에서 보안 위험 : 「App Store」이외의 응용 프로그램 설치

현재 모바일 환경을 노리는 악성 앱은 Android 단말에 집중하고 있으며, iPhone, iPad 등의 iOS 단말을 노리는 악성 앱 위협은 거의 존재하지 않는 것으로 인식되고 있습니다. 악성 앱 위협에서 iOS 단말기를 지켜온 것은 일반적으로 App Store 이외의 응용 프로그램 설치 방법이없는 것, iOS 단말을위한 정규 앱 스토어 인 'App Store'에서 응용 프로그램 심사의 엄격 성,의 두 조건이라고 할 수 있습니다. iOS 단말기에 App Store 이외에서 응용 프로그램을 설치하는 방법으로 단말기의 제한을 해제 개조하다 "Jailbreak (탈옥)"을 할 수 있습니다. 그러나 일반 이용자가 자발적으로 Jailbreak하는 것은 거의 없기 때문에 악의적 응용 프로그램에 의한 공격 가능성은 매우 낮은 것으로되어있었습니다. 그러나 향후 iOS 단말에 대한 공격을 전조시키는 Jailbreak되지 않는 iOS 단말기에 App Store를 거치지 않고 응용 프로그램을 설치하는 사례가 여러 밝혀지고 있습니다.

■ App Store 이외에서의 설치를 실현하는 「프로비저닝 프로파일」
이 11 월에 이미 본 블로그에서도 기보대로 " WireLurker "," Masque Attack "과 iOS 단말에 대한 공격이나 공격의 가능성을 보여주는 사례가 지속적으로 발견하고 있습니다. "WireLurker"는 Mac PC와 USB 연결 된 iOS 장치에 대해 잘못된 응용 프로그램을 설치하는 공격 방법이었다. PC를 통해 미 Jailbreak 단말기에 응용 프로그램을 설치하는 사례는 이전부터있어, 2013 년 1 월에는 Windows PC에 USB 연결 Jailbreak되지 않는 iOS 단말기에 모든 응용 프로그램을 설치할 수있는 도구의 존재가 확인 되어있었습니다. "WireLurker"이 기술을 실제 공격에 사용 된 것이라고 말할 것입니다. 또한 "Masque Attack"코드 서명 확인의 미비를 이용하여 동일한 번들 ID를 사용하여 이미 iOS 단말기에 설치되어있는 응용 프로그램을 다른 응용 프로그램으로 대체 될 수있는 취약점입니다. 이런 공격이나 공격을 가능하게하는 취약점은 iOS의 일반 기능인 「프로비저닝 프로파일 "이 악용되고 있습니다. 프로비저닝 프로파일은 개발자가 자신의 응용 프로그램을 테스트 할 때나 기업이 사내 응용 프로그램을 배포 할 때 App Store를 거치지 않고 iOS 단말기에 응용 프로그램을 설치하기위한 기능입니다.

이 "프로비저닝 프로파일"기능을 이용한 일본의 iOS 단말 이용자에 관련된 구체적인 사례로 한 음악 앱 배포 사례를 트렌드 마이크로는 확인하고 있습니다. 이 음악 응용 프로그램은 이전 App Store에서 배포되고 있었지만 올해 7 월 이후 App Store에서 삭제 된 구할 수 없게되어있었습니다. 그러나 그것 바뀝니다에​​ 일반 Web 사이트에서 배포를 시작합니다. 일반 iOS 기기에서 App Store 이외의 Web 사이트에서 응용 프로그램의 설치는 할 수없는 것입니다. 그러나이 음악 앱은 Apple 사로부터 인증을받은 프로파일을 사용하여 App Store를 통해이 아닌데도 설치가 가능 해지고있었습니다.

그림 1 : Jailbreak되지 않는 iPhone에서 액세스 한 문제의 음악 앱 다운로드 사이트 표시 예 
"AVAILABLE ON THE App Store」라는 기술이 있지만, 실제로는 App Store가 아닌 사이트에서 설치가 시작된다

그림 2 : 설치시 나타나는 화면 예제 
이 화면에서 "설치"를 선택하는 것만으로 Jailbreak되지 않는 iOS 단말기에 음악 앱이 설치되는

그림 3 : 문제의 음악 앱 설치시 사용 된 프로필 
공개 당시와 현재 프로필이 변경되는

트렌드 마이크로의 분석에서는이 Web 사이트에서 설치되는 음악 앱에 정보 절취 및 파괴 활동 같은 악성 활동은 인정되지 않고 실제로 음악 응용 프로그램의 기능을 가지고있는 것 같습니다. 이 사례에서 진정한 문제는이 Ap​​ple 사로부터 인증을받은 프로파일을 이용하여 App Store 이외의 사이트에서 응용 프로그램을 설치하는 방법은 악의적 인 공격자도 이용이 가능 것이라는 점입니다. 악의적 인 공격자는 합법적 인 앱 개발자를 공격하거나 스스로 Apple 사에 신청하는 등, Apple 사의 인증을받은 프로파일을 얻을 수 있습니다. 그리고 그 프로파일을 이용하여이 음악 앱처럼 App Store 이외의 사이트에서 일반 이용자를 향해 부정 앱 배포 할 수 있습니다.

■ iOS 단말기를 보호하는 방법
지금까지는 일반 iOS 단말기 사용자가 App Store 이외의 위치에서 응용 프로그램을 얻을 가능성은 거의없고, App Store의 엄격한 심사가 iOS 단말기를 무단 앱에서 지켜 왔습니다 . 그러나 이번에 소개 한 같은 프로비저닝 프로파일 관련된 여러 사례에서 iOS 단말기를 사용하는 사용자들에게 악성 앱 위협이 임박했음을 밝혀 왔습니다.

그러나 아직 iOS 단말 이용자는 다음의 포인트를 지키는 것만으로 악성 앱 위협을 피할 수 있습니다.

• iOS 버전을 최신 상태로 유지
• iOS 단말기를 Jailbreak하지
• App Store 이외에서 응용 프로그램을 입수하지
• App Store에서 앱 접근 할 수 응용 프로그램에 대한 리뷰의 숫자와 그 내용, 앱 개발자 정보 등을 확인하고 의심스러운 점이있는 경우에는 설치하지

이들을 보호만으로 악성 앱 피해를받을 가능성은 거의 제로입니다.

또한 Apple의 "iOS Developer Enterprise Program '에 참여하고있는 기업 사용자는 자신의 관리 프로파일을 악용되지 않도록 다음 사항에주의하십시오.

• 개인 키를 적절하게 관리
• 개인 키에 액세스 할 수있는 권한을 가진 직원을 최소로하는
• 개인 키에 액세스 할 수있는 권한을 가진 직원이 퇴직 또는 이동 한 경우에는 권한 변경을 게을리하지 않고 반드시 사용 안함
• 비공개 열쇠 앱에 하드 코드하지
• 만일 개인 키가 부정 사용 된 혐의가 발견 된 경우에는 즉시 그 디지털 인증서를 사용하지 않으려면

■ 트렌드 마이크로의 대책
트렌드 마이크로는 모바일 제품 " 바이러스 버스터 모바일 "은 iOS 단말의 보안을 제공합니다.

※ 조사 협력 : 야마모토 将史 (Regional Trend Labs) 및 林憲明 (Forward-looking Threat Research)