10/03/10 20:40:54
一見すると無害な天気予報のiPhoneとAndroid携帯向けの不正アプリで、ユーザーをどれくらいだませるか―。
セキュリティ研究者がそんな実験を行い、約8000人のユーザー情報を集めることができてしまったと、セキュリティ
カンファレンスで発表した。
英Sophosの研究者が報道を引用して伝えたところでは、この実験はセキュリティ企業TippingPointの研究者が行い、
このほど米サンフランシスコで開かれたRSAカンファレンスで発表した。
実験に使ったスマートフォン向けの「WeatherFist」というアプリは、GPS情報や電話番号などを登録させた後、天気情報
を表示する仕組みにしてあった。配布にはiPhoneやAndroidの公式アプリストアではなく、非公認ソフトを実行できるように
した「脱獄」(jailbroken)端末向けのアプリを提供しているCydia、SlideME、Modmyiといったサードパーティーのサービス
を利用した。
この方法で約8000台のスマートフォンにWeatherFistをインストールさせ、ボットネットのネットワークに組み込むことが
できてしまったという。
研究チームはさらに、情報を盗み出すなどトロイの木馬的な機能を持たせたアプリ「WeatherFistBadMonkey」も開発した
とされる。こちらは一般向けの配布はしなかったが、アプリにマルウェアのような動作を持たせられることを実証する狙い
があったと説明しているという。
脱獄版のiPhoneを容易にマルウェアに感染させることができてしまう問題は、2009年11月にiPhoneワームが出現した
時点から指摘されていた。
URLリンク(www.itmedia.co.jp)