公共のWi-Fiに接続することの危険性については、これまで何度も言われてきました。しかし、携帯電話を公共のUSB充電器に接続することが、同様のマルウェアに感染する可能性があるとは誰が想像したでしょうか!
ジョージア工科大学の研究者は、アプリストアから悪意のあるアプリをダウンロードすることなく、あるいはアプリストアにアクセスすることなく、iPhoneに悪意のあるアプリをインストールできる脆弱性を発見しました。脆弱性のあるUSB充電器経由でインストールされたこのアプリは、他のマルウェアと同様に動作し、デバイスに銀行のログイン情報へのアクセスを強要したり、通話を盗聴したり、さらにはデバイスを遠隔操作したりします。しかし、iPhoneにハッキングする方法は異なります.
まず、ジョージア工科大学の研究者たちは、自分たちの理論をテストするためにアップルのチームからセキュリティ許可を得る必要がありました。そこで彼らは、見た目も機能もフェイスブックに酷似したアプリを作ったのです。しかし、何が違うのでしょうか?Facebookそっくりのアプリにはマルウェアのコードが隠されていたのです。セキュリティクリアランスを取得したチームは、iPhoneの充電器を使って携帯電話にマルウェアをインストールしようとしました。
この実験的マルウェアは、ユーザーが無意識のうちにiPhoneを公共のUSB充電器に接続すると起動し、動作します。暗証番号やパスワードが設定されたiPhoneは攻撃されません。ただし、iPhoneのロックが解除されている場合は、悪意のあるアプリケーションも有効になります。
充電中のiPhoneのロックが解除されたままになっていると、ハッカーは偽のFacebookアプリを介して電話を遠隔操作し、電話をかけたり、パスワードをチェックしたり、設定を変更したりすることができます。このような脅威は、いわゆる「オートラン」と呼ばれる悪意のあるアプリで、通常USB経由で配布されます。これらの不正アプリは、コンピュータやタブレット、iPhoneをセキュリティ脆弱性のあるデバイスに接続すると自動的に実行されるため、危険です。McAfee Threat Report: Q2 2013によると、この種の攻撃は2012年から2013年にかけて倍増しており、現在も拡大中です!
幸いなことに、ジョージア工科大学セキュリティ情報センターのメンバー数名が、アップル製デバイスのセキュリティに対する疑念を証明するためにテストを実施し、この特殊なiPhoneの脅威に光を当て、蔓延しているサイバー犯罪の「手腕」を目の当たりにすることができました。
アップルは最近、指紋認証で起動するロックソフトウェアなど、セキュリティサービスを強化するためのアップデートを数多くリリースしています。しかし、ユーザーがAppleデバイスをセキュリティ上危険な充電器に接続した場合、フロントエンドのセキュリティをいくら強化しても、このような侵入を防ぐことはできません。あなたのiPhoneが他人に操作されたり、他のUSBマルウェアに感染しやすくなることを望まないのであれば、以下の提案をお伝えします:
- Appleは、見慣れないUSB充電器に接続する際に警告を発するよう、デバイスのソフトウェアをアップデートしました。この警告を無視すると、大変なことになるかもしれません。喫茶店や空港など、公共の場所にいるときは、公共の充電器に接続することをよく考えてください。
- 充電中は絶対にロックを解除しないでください。携帯電話が完全に壊れてしまい、公共の充電器を使わなければならない場合は、必ず携帯電話にロックをかけ、固定電話の充電器を使用してください。iPhoneのロックを解除することが、マルウェアが大暴れする鍵です。
- iPhoneの設定を確認USBケーブルを接続したことがあり、iPhoneが不正に操作されていないか確認したい場合は、「設定」>「一般」>「この電話について」をチェックしてください。リストに見慣れない項目があれば、すぐに削除してください。
- アプリは信頼できるソースからのみダウンロードしてください。この悪質なアプリはUSBケーブル経由でインストールされるため、自分でアプリをダウンロードする際には注意が必要です。悪質なアプリの被害に遭わないためにも、アプリは公式アプリストアからのみダウンロードしましょう。
- すべての機器に統合セキュリティ・ソフトウェアをインストール。
