Endpoint Protection

 View Only

TaiG に偽装し、偽の iOS ジェイルブレイクソリューションを提供する詐欺 

Sep 27, 2016 02:48 AM

iOS の新しいバージョンがリリースされるたびに、そのバージョンに対応するジェイルブレイクの方法を当然のように待ちわびるユーザーがたくさんいます。ジェイルブレイクを実行すると、デバイスのセキュリティが低下します。にもかかわらず、そうした手段に出るのは、インストールできるアプリの幅が広がり(Apple の認証を受けていないアプリも含まれる)、制限されている API を使えることも多いからです。

シマンテックのモバイル研究者が、いち早くジェイルブレイクを実装しようとするユーザーにつけ込む詐欺を発見しました。詐欺師は、iOS のジェイルブレイクを扱う人気の Web サイト「TaiG」に偽装し、最新のオペレーティングシステムである iOS 9.2.1 をジェイルブレイクできるツールのベータ版があると謳っています。ユーザーは、実際には寄付ページに誘導され、紛らわしい Web リンクをデバイスで受け取るだけです。

iOS のジェイルブレイクについてざっと Web 検索すると、TaiG、Pangu、Cydia といったおなじみの名前がヒットします。TaiG のベータリンクに続いて、TaiG の名前を名乗ってはいるものの、ドメイン名も見かけも若干異なる(「TaiG」ではなく「TaiG9」)ページも見つかりました。

jailbreaking_1_edit.jpg
図 1. 偽のジェイルブレイクサイト「TaiG9」

この Web サイトには、iOS 9.2.1 をジェイルブレイクする Windows 版と Mac 版のツールが間もなくリリースされると書かれています。一方、iOS デバイスのブラウザを介してジェイルブレイクを実行できるツールのベータ版というのも公開しています。iOS 以外のデバイスでこのリンクを開こうとしても、サポート対象のデバイスではないというメッセージページが開くだけです。iOS デバイスに偽装する適切なユーザーエージェント値を要求に使ったところ、この「ベータ版」ツールと思われるものを入手できました。

ユーザーには、ジェイルブレイクの処理を完了する手順がいくつか指示されますが、この手順は偽物です。このサイトで表示されるダイアログを除けば、ブラウザでのジェイルブレイクに関係するアクティビティは検出できませんでした。

jailbreaking_2_edit.jpg
図 2. 紛らわしいジェイルブレイクのプロセスフロー

最終段階でボタンをクリックすると、Cydia アプリのインストールが始まると期待しますが、実際に示されるのは iOS の設定プロファイルです。このプロファイルを調べたところ、COMODO CA という文字列で適正に署名されているため、デバイスではデフォルトで信頼されることがわかりました。プロファイルには、Web クリップも含まれています。これは、ユーザーのホーム画面に Web サイトへのショートカットを置く機能を持ちますが、ユーザーは欺かれて、それがアプリだと思い込んでしまいます。

jailbreaking_3_edit.jpg
図 3. iOS プロファイルのダウンロードを促す

 

jailbreaking_4_edit.png
図 4. TaiG9 のプロファイル

ショートカットを起動すると、ユーザーはプロファイルに設定されている URL に誘導されますが、そこが TaiG9 にホストされているサードパーティのアプリストアです。この Web サイトには、寄付金を送るとアプリストアの「フリーミアム」セクションにアクセスできると書かれています。おもしろいことに、サイトのフリーミアムセクションには、寄付をしなくてもアクセスできます。

ユーザーがこのサイトから Cydia アプリをインストールしようとすると、別の iOS 設定プロファイルが表示され、またホーム画面にショートカットが作成されます。ただし、今度のリンク先は偽の Cydia サイトです。このサイトは明らかに、iPhone のジェイルブレイクに成功し、本物の Cydia アプリをインストールできたとユーザーに思い込ませるように設計されています。

最終的にユーザーは、ジェイルブレイクに成功して、Cydia アプリコミュニティにアクセスできたと信じさせられます。もちろん実際には、欺かれて 2 つの設定プロファイルをインストールさせられ、寄付金要請の詐欺に引っかかってしまっただけです。シマンテックの遠隔測定によると、これらのページに誘導されたシマンテックユーザーは、10 万人を超えていました。

対処方法

この偽ジェイルブレイクソリューションは、Google 検索の結果でもトップを占めています。また、名の通ったジェイルブレイク名でユーザーを欺き、Reddit スレッドでも紹介されているので、注意が必要です。デバイスのジェイルブレイクは、お勧めしません。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.