エフセキュアブログ

crashed を含む記事

iOSクラッシュレポート:ポップアップブロックが必ず役立つわけではない

 木曜日、テレグラフ紙はiOSユーザを標的にした詐欺に関する記事を掲載した。以下はその要点だ。詐欺師たちはJavaScriptによるダイアログを用い、いわゆる「iOSクラッシュレポート」という警告を表示して技術サポートへ電話をするように促す。このテレグラフ紙の記事の終わり近くに、次のような助言が示されている。

 「To prevent the issue happening again, go to Settings -> Safari -> Block Pop-ups.(この問題の再発を防ぐには、「設定>Safari>ポップアップブロック」に進む。)」

 残念ながら、この助言は正しくない。さらにおそらくもっと残念なことは、この不適切な助言を数々のWebサイトで繰り返しているセキュリティや技術の評論家たちが、今もなお存在することだ。どうしてこの助言が間違いだと分かるのだろうか?なぜなら当社では実際にこれをテストしたのだ…。

 まず始めに、この「iOSクラッシュレポート」詐欺は技術サポート詐欺のバリエーションの1つであり、早くも2008年には事例が確認されている。かつてはインド国内のコールセンターから、直接的に売り込む電話がかかってきた。しかしここ最近では、Webベースで誘惑をして、潜在的な被害者が詐欺師に連絡をするように仕向けている。

 Googleで次のテキストを検索すると、いくつかの活動中の詐欺サイトが得られる。

 「"Due to a third party application in your phone, IOS is crashed."(このスマホ内のサードパーティーのアプリケーションによって、iOSがクラッシュしました)」

 以下はこうしたサイトの1つで、iPad上のiOS Safariで表示している。

iosclean.com

 Safariの「詐欺Webサイトの警告」や「ポップアップブロック」といった機能では、このページが読み込まれるのを防げなかった。

 上図でポップアップのように見えるものは、実際にはJavaScriptで生成したダイアログである。自分自身で再生成し続け、消すことが非常に難しくなることがある。SafariのJavaScriptをオフにすることが、一番手っ取り早く制御を取り戻す方法だ。残念ながら、JavaScriptを無効にしたままでは、数多くの正規のWebサイトで多大な影響があるだろう。

 以下はGoogle Chrome for Windowsで同じサイトを参照したものだ。

Prevent this page from creating additional dialogs

 この場合、「prevent this page from creating additional dialogs(このページでこれ以上ダイアログボックスを生成しない)」という文字が追加されていることに注意してほしい。(少なくともWindows用の)ChromeとFirefoxの現行バージョンでは、再生成をするダイアログにこのオプションを追加しており、ユーザがループを断ち切ることができるようになっている。悲しむべきことに、Internet ExplorerとSafariではこのようになっていない。(当社ではIE for Windows / Windows PhoneとiOS Safariでテストをした)。

 すべてのブラウザがこの回避機能をサポートしたら、すばらしことではないだろうか。

 もちろん、我々もそう思う。

 しかし事はブラウザだけではない。ブラウザを用いているアプリの機能も影響を受けることがある。

 以下はCydia経由で表示したJavaScriptのダイアログの例だ。

error1014.com

 テレグラフ紙の記事の最後には、ロンドン市警からの以下の助言も掲載されていた。

 「iCloudのユーザ名やパスワード、銀行の口座情報などを電話越しに他人に渡してはならない。」

 まったくだ!誰かにiCloudのパスワードを渡したら、サポート詐欺はただちにデータの乗っ取りや強奪のスキームに転じるだろう。当社では、複数の詐欺師の電話番号に電話をして、我々のiCloudの機密情報を尋ねるかを確認しようとしたのだが、かけてみた電話番号は現在使われていないことが分かっただけだった。

 願わくば、そのままでありますように。(そうならないだろうけど。)

機能しないAndroid課金型SMSトロイの木馬

  我々は課金型のSMS番号にSMSメッセージを送信しようとするAndroid向けトロイの木馬を発見した。それは珍しくはない。しかし、異なっているのは、これらのトロイの木馬が動作しないということだ。

  これらトロイの木馬(「Trojan:Android/RuFailedSMS.A」として検出されている)は、以下のパーミッションを用いる:

RuFailedSMS, permissions

  そして悪意のあるアプリケーションはそれぞれ、(人気のアプリのように思われる)パッケージのダウンロードをオファーし、様々なアプリケーションのインストーラのふりをする:

RuFailedSMS, main UI

  「オファーされる」アプリケーションには以下のものがある:

  •  Add_It_Up
  •  Advanced_Launcher_Lite
  •  AmazingMaze_supLitesup
  •  Analog_Clock_Collection
  •  Animal_Sudoku
  •  AnySoftKeyboard
  •  AnySoftKeyboard_Slovak_Language_Pack
  •  AppInventor_Toggle
  •  Arrow_Caz
  •  Astronomical_Flashlight
  •  BentoCam!
  •  Bimaru_-_Battleship_Sudoku
  •  BlackJack
  •  Carve_a_Pumpkin_supLitesup
  •  Chinese_Chess
  •  Christmas_Ringtones
  •  Coloring_pages
  •  Contact_Finder_supLitesup
  •  Converter
  •  Countdown_Widget
  •  Crayon_Ball
  •  Cyan_aHome_Theme

  幸いなことに、コードに捕捉されなかった例外があるため、同トロイの木馬(SHA1: 0d2d3317c6ca1a9812d357741f45af6bb360d89c)は、その悪意ある活動を完了せず、クラッシュして停止してしまう:

RuFailedSMS, crashed

  我々は100を超えるトロイの木馬のコピーを発見しているが、かなりの数が技術的に高度なものではない。それらのコピーは基本的に同じソースコードを使用しているが、異なるパッケージ用に異なるコンフィギュレーションに改造されているに過ぎないのだ。.

  これらトロイの木馬は、サードパーティのAndroidマーケットで発見されており、ロシア、ベラルーシ、カザフスタンおよびアゼルバイジャンのユーザを標的としている。

  これらのトロイの木馬はクラッシュし、機能しないにしても、悪意あるルーチンのため、またコピーが大量に出回っているためもあって、検出は行っている。

Threat Solutions post by — Jessie

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード