ジョージア工科大学の研究者たちは、特定の手法を用いて、Appleの厳選されたApp Storeにマルウェアをこっそりと侵入させました。チームはアプリを開発し、App Storeに提出しました。そして、マルウェアコードがアプリ内に隠されていたため、深刻なマルウェアが潜んでいたにもかかわらず、承認されました。

コードガジェットとJekyll

研究者たちは、所属するジョージア工科大学からのニュースを配信すると称するアプリを開発しました。MIT Technology Reviewによると、研究チームはマルウェア関連のコードを「コードガジェット」と呼ぶスニペットに分割し、アプリのコードベース全体に散りばめました。

以下のコメントで指摘されているように、この手法は新しいものではありません。自己書き換えコードは以前から存在していましたが、動的に生成されるロジックを用いてマルウェアを偽装し、Appleのアプリ承認プロセスを通過させることに成功したという報告はこれが初めてです。

仕組みはこうです。「コードガジェット」スニペットは、アプリの承認プロセス中にアプリが実際に実行されていた数秒間は何もしませんでした。Appleはアプリのテスト方法を明らかにしていませんが、このアプリの場合、研究者はおそらくジョージア工科大学のサーバーからデータが取得された時間を確認することで、アプリの実行時間をリモートで監視することができました。研究者によると、わずか数秒だったとのことです。

「私たちが伝えたいメッセージは、現在、アップルの審査プロセスは主にアプリの静的分析を行っているが、動的に生成されたロジックは簡単には確認できないため、これでは不十分だということです」と、このプロジェクトに参加したストーニーブルック大学の研究者、ロン・ルー氏は述べた。

時限爆弾

承認されると、研究者たちは自身のiOSデバイスにアプリをインストールし、他の人がダウンロードする前にApp Storeから即座に削除しました。犠牲となったテストデバイスでアプリが動作した瞬間、彼らの手法の真の悪事が始まりました。

なぜなら、それらの「コード ガジェット」が完全な形に戻り始め、その完全な形が密かに「ツイートを投稿し、電子メールやテキストを送信し、個人情報やデバイス ID 番号を盗み、写真を撮り、他のアプリを攻撃」するように設計されていたからです。

「アプリはインストール時にコマンドを要求し、端末に電話をかけていました」とロング氏は説明した。「これにより、インストール時には存在しなかったアプリのロジックに新たな動作を組み込むことが可能になりました。」

これを念頭に置くと、研究者がマルウェアを「Jekyll」と名付けた理由が分かります。

影響

この種の脆弱性はiOSに限らず、あらゆるプラットフォームに影響を及ぼす可能性があります。モバイルセキュリティ企業Lookoutの主任研究員であるマーク・ロジャーズ氏は、MITテクノロジーレビューに対し、「モバイルであろうとなかろうと、すべてのOSがこの種の攻撃に対して脆弱です」と述べています。

この件には、いくつか穏便に済ませられる側面もある。まず、同グループが調査結果を発表した今（金曜日に発表された）、この問題は正当なものであり、セキュリティ業界全体が検討し、対策を講じることができるはずだ。

さらに重要なのは、Apple の広報担当者が、この論文を受けて Apple はすでにアプリの承認プロセスに変更を加えたと述べたが、明白な理由からどのような変更が行われたかは明らかにしなかった点だ。

[更新：下記のコメントのおかげで、この記事はジョージア工科大学の研究者が行ったこととそれがなぜ重要なのかをより正確に説明するために更新されました。 – ブライアン]

バグは Shutterstock のご厚意により提供され、同社の協力を得て作成されました。