Apple、iOSアプリを狙う”Masque Attack”手法についてコメント。



 今日アメリカ政府(US-CERT)がiOSの脆弱性を利用した攻撃方法”Masque Attack”に対し警告を出しましたが、この攻撃方法についてAppleはiMoreの取材に回答したそうです。詳細は以下から。



Appleの広報担当はiMoreに「我々はユーザーを守るための安全予防手段を講じ、悪意のあるソフトウがインストールされる前に警告する様にOS X やiOSを設計した」と語った。

“We designed OS X and iOS with built-in security safeguards to help protect customers and warn them before installing potentially malicious software,” an Apple spokesperson told iMore.

「我々は実際にこの攻撃によって影響を受けたユーザーを認識していない。我々はApp Storeなど信頼のあるソースからのアプリのダウンロードと警告に注意を払うことを推奨しています。エンタープライズ・ユーザーはカスタムアプリを自社の安全なサイトからインストールしてください。」

“We’re not aware of any customers that have actually been affected by this attack. We encourage customers to only download from trusted sources like the App Store and to pay attention to any warnings as they download apps. Enterprise users installing custom apps should install apps from their company’s secure website.”

[Apple comments on ‘Masque Attack’ – iMore]


 さらに、Appleが”Masque Attack”の報道を受け2014年11月11日に”iOS: When you install custom enterprise apps”という社内用のiOSデバイスアプリ配布する際の注意点を掲載したサポートページを一般のユーザーにも公開したそうで、サポートページの中で「第三者Webサイトからのアプリは決してインストールしないように」と警告しています。

Never install apps from third-party websites or links you don’t recognize and trust, even if the app name seems familiar.

Apple comments on ‘Masque Attack’, reminds users of built-in security safeguards – iMore

WireLurkerマルウェアにも使用されたiOSアプリをマルウェアに置き換える事のできる”Masque Attack”という手法が公開されるb.hatena

アメリカ政府、iOSの脆弱性を利用して純正アプリをマルウェアに置き換える事ができる”Masque Attack”手法に対して警告b.hatena