全てのiPhoneアプリケーションは、AppleのApp Storeにより承認されるべきだと考えている方は、もう一度考えて欲しい。

  以下は「SpoofCard」というアプリケーションだ:

SpoofCard

  「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。

  しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。

  とはいえ、「SpoofCard」をAppleのサイトで見付けることはできない。

  これはWebアプリだ。「インストール」するには、iPhoneのSafariブラウザで「ispoofcard.com」を訪問するだけでよい。

ispoofcard.com

  「SpoofCard」のサイトは、iPhoneのデスクトップにアイコンを保存するよう促す。

  その時点で、これは単にインストールされたアプリケーションのように見える。

SpoofCard Web App

  iSpoofCard Webアプリは、実際のスプーフィングを行うサービスを呼び出すが、その前にユーザに許可を求める。そういう意味では正常だ。

  しかし我々が興味を持っているのは、人々をだまして明らかに悪意あるWebアプリに許可を与えさせるべく、ソーシャルエンジニアリングが使用される可能性があるのでは?ということだ。Webアプリは、許可を与えられたら、iPhoneの連絡先にアクセスすることができるのだろうか? WebアプリはSMSメッセージを送ることができるのだろうか? Webアプリは電話をかけることができるが、誰かに有料課金となる通話をさせるのに、どのくらいのソーシャルエンジニアリングが必要だとお考えだろうか?

  しかし…WebアプリはApp Storeのアプリケーションほどポピュラーではない。Webアプリが悪用され得るとしても、iPhoneユーザはそれらをあまり使用しないのだから、実際にそうなるおそれは少ない。

  そして我々は結局これは、不明瞭ではあるが、Appleの標準的なセキュリティの、さらなる一例であると思う。