【注意】iPhoneアプリ、数億人にパスワード盗難の恐れ

にほんブログ村 ネットブログ SNS・ソーシャルメディアへにほんブログ村 ネットブログへ

普通に使ってるやつめっちゃある…

Appleがここまでやられるとは…

マルウェアは、情報を抜き取ったりとか色々悪いことをしようと仕込まれたソフトウェア。

アップルのアップストアで配信されている中国の人気アプリの一部が、マルウエア(悪意のあるソフトウエア)に感染した

「今回の攻撃は300以上のアプリに影響を及ぼしている」

セキュリティ企業のパロアルトネットワーク社がコメント。

CamScanner とか WinZip とか国内でもそれなりに人気ありそうなやつが含まれててこわい

CamScannerは画像をPDF化するアプリ、WinZipはファイルを圧縮・解凍するアプリ。

プロデューサー名刺管理にCamCard使ってたからつらい、マジでやばい

名刺をカメラで撮るとデータが自動的に連絡先に保存してくれるアプリ。

OPlayerって、日本でも使ってる人そこそこ居るんじゃ…

こちらは動画再生アプリ。

プリクラのような加工が出来る有名なカメラアプリ『perfect365』がリストにあったよ。使ってる人は要注意。
「App Storeのアプリ多数にマルウェアが混入、パスワード盗難の危険」
m.huffpost.com/jp/entry/81679… pic.twitter.com/dHK7B936cH

最初は中国からはじまったみたい

アプリはXcodeっていう環境で作るのだが、その環境を改ざんしたXcodeGhostというのが出回ってた。

XcodeGhostはXcodeと呼ばれる開発環境に組み込まれる。非公式な経路からXcodeを入手し、アプリの開発を行った場合に感染する

多くの開発者はAppleの正規ルートではなく、別サイトでシェアされてるXcodeをダウンロードする。

中国ではAppleのHPからダウンロードするのがものすごく時間がかかるから、だとか。

ハッカーがそのサーバーに感染させたXcodeを置き、速くダウンロードできると宣伝したのだと研究者たちは言う。

だから知らないうちに悪いXcodeでアプリを作ってしまい、こういう事態になったということ。

世界中にユーザーがいるようなアプリまで感染してしまった。。

すでに数百の感染アプリがみつかり、WeChat など各国で配布される著名アプリにも感染が拡がっています。

おうおうおうおうWeChatがやらかすとは

WeChatはLINEみたいなメッセージアプリ。

App storeのマルウェア混入のアプリリスト見たけどCamScanner入ってるやん
これ結構入れてる人いるだろ


Photo by Tom Merton / OJO Images

Appleとしては初めてレベルの被害。。

感染したアプリの中には中国だけでなく他の国でも非常に人気の高いものもあり、数億人のユーザーが利用している

この種のセキュリティ侵害は初めてであり、アップルの脆弱性が明かされた稀なケース

どんな被害が考えられてるのかというと

iCloud/AppStoreアカウントを要求する様な偽ポップアップを出現させ、アカウント情報を盗み出す…などが行われる

あー、アプリを使用する立場から考えると唐突な画面でiCloudのパスワード求められることってわりとあるから(iOSをセットアップして直後とか)、やばそう / “App Storeのアプリ多数にマルウェアが混入、パスワード盗難の危険…” htn.to/BgqFYe

iCloudのパスワード認証がしつこくなってる
絵描いてる10分中3回来たんですけど画面割っていいですか

こういうこと、たまにあるって人も多い。

クリップボードの情報を読み取ったり、そこに情報を書き込んだりする可能性

クリップボードは、文字を選択してコピーしたときに保存しておく場所のこと。

パスワードをコピペだっ!!

めんどくさいからやりがちだけど、危ない。。

感染している場合、どうしたらいい?

#アップル #AppStore 初の大攻撃を受け、危険アプリを削除ちう。 twitter.com/Reuters/status… 最近新しい #アプリ 入れたひとは、名前メモして一旦削除ね。

#アプストア から「購入済みアプリ」を開いてもう無ければヤバかったということ。 #iOS9

確かにこうすれば確認できる。

感染対象のアプリを使う必要がある人は、別バージョンのアプリにするか、アップデートを待ってからインストールすること。

対策&アプデは進んでる?

【アップルの広報担当者】
「アップストアから、偽造ソフトウエアで作られたと確認したアプリを全て取り除いた」と明らかにした。

今ダウンロードしてない人は、大丈夫そう。

【WeChatの公式ブログ】
「セキュリティの欠陥はVer.6.2.5にあり、それより新しいものには存在せず、調査したところ情報漏えいもありませんでした」

今回感染が確認された企業でも、対応が進んでる様子。
最新版は大丈夫か、確認して利用すれば問題なさそう。

  • このエントリーをはてなブックマークに追加