全てのiPhoneアプリケーションは、AppleのApp Storeにより承認されるべきだと考えている方は、もう一度考えて欲しい。
以下は「SpoofCard」というアプリケーションだ:
「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。
しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。
とはいえ、「SpoofCard」をAppleのサイトで見付けることはできない。
これはWebアプリだ。「インストール」するには、iPhoneのSafariブラウザで「ispoofcard.com」を訪問するだけでよい。
「SpoofCard」のサイトは、iPhoneのデスクトップにアイコンを保存するよう促す。
その時点で、これは単にインストールされたアプリケーションのように見える。
iSpoofCard Webアプリは、実際のスプーフィングを行うサービスを呼び出すが、その前にユーザに許可を求める。そういう意味では正常だ。
しかし我々が興味を持っているのは、人々をだまして明らかに悪意あるWebアプリに許可を与えさせるべく、ソーシャルエンジニアリングが使用される可能性があるのでは?ということだ。Webアプリは、許可を与えられたら、iPhoneの連絡先にアクセスすることができるのだろうか? WebアプリはSMSメッセージを送ることができるのだろうか? Webアプリは電話をかけることができるが、誰かに有料課金となる通話をさせるのに、どのくらいのソーシャルエンジニアリングが必要だとお考えだろうか?
しかし…WebアプリはApp Storeのアプリケーションほどポピュラーではない。Webアプリが悪用され得るとしても、iPhoneユーザはそれらをあまり使用しないのだから、実際にそうなるおそれは少ない。
そして我々は結局これは、不明瞭ではあるが、Appleの標準的なセキュリティの、さらなる一例であると思う。
以下は「SpoofCard」というアプリケーションだ:
「SpoofCard」を使用すると、スマートフォンユーザは自分の発信者番号をスプーフィングすることができる。これは必ずしも新しいものではない。1年前にも多少のマスコミ報道があった。
しかし、現在我々にとって興味深いのは、Android、BlackBerry、Palm、Windows MobileそしてiPhoneと、サポートされているプラットフォームが多様であることだ。
とはいえ、「SpoofCard」をAppleのサイトで見付けることはできない。
これはWebアプリだ。「インストール」するには、iPhoneのSafariブラウザで「ispoofcard.com」を訪問するだけでよい。
「SpoofCard」のサイトは、iPhoneのデスクトップにアイコンを保存するよう促す。
その時点で、これは単にインストールされたアプリケーションのように見える。
iSpoofCard Webアプリは、実際のスプーフィングを行うサービスを呼び出すが、その前にユーザに許可を求める。そういう意味では正常だ。
しかし我々が興味を持っているのは、人々をだまして明らかに悪意あるWebアプリに許可を与えさせるべく、ソーシャルエンジニアリングが使用される可能性があるのでは?ということだ。Webアプリは、許可を与えられたら、iPhoneの連絡先にアクセスすることができるのだろうか? WebアプリはSMSメッセージを送ることができるのだろうか? Webアプリは電話をかけることができるが、誰かに有料課金となる通話をさせるのに、どのくらいのソーシャルエンジニアリングが必要だとお考えだろうか?
しかし…WebアプリはApp Storeのアプリケーションほどポピュラーではない。Webアプリが悪用され得るとしても、iPhoneユーザはそれらをあまり使用しないのだから、実際にそうなるおそれは少ない。
そして我々は結局これは、不明瞭ではあるが、Appleの標準的なセキュリティの、さらなる一例であると思う。
