「あなたがSMSでやり取りしている相手は全くの別人かもしれない」とアプリ開発者が警告

「SMSでいつもメッセージをやり取りしている相手がまったくの別人で、実は悪意ある攻撃者だった」というシチュエーションは完全な恐怖でしかありませんが、スマートフォンのアプリによってこのような攻撃が行われているとiOSアプリの開発者が警告しています。なお、この種の攻撃の危険性はiOS、Android両方の端末に同様に存在するとのことです。

Smartphone Security: You'll Never Guess Who Just Messaged You
http://jordansmith.io/address-book-contact-security/

他人に成りすましてSMSやiMessageでメッセージの送受信を行う攻撃がiOSやAndroid端末で行われていると警告しているのは、iOSソフト開発者のジョーダン・スミス氏。スミス氏によると、悪意あるアプリのインストールによって、ユーザーのスマートフォンに連絡先が保存された知人に成りすまし、メッセージの送受信が行われる危険があるとのこと。当然、悪意ある攻撃者は他人に成りすますことで、情報を引き出したり、悪意のあるコンテンツへ誘導したりすることが可能です。

スミス氏によると一連の攻撃は、悪意あるアプリがスマートフォンアプリのインストール時や利用時に「ユーザーの電話番号」の入力や「連絡先へのアクセス許可」を要求することから始まるとのこと。これらの権限許可自体は多くのアプリで行われているものであり、これだけをもって不当な利用が行われるわけではありませんが、スミス氏によるとアプリのインストール時に権限を獲得すると、しばらく目立った攻撃を行わず待機しているそうです。

悪意あるアプリは連絡先へのアクセス許可を得た後で、連絡先のデータをサーバーに送信して保存します。そして、時期がくると、こっそりと既存の連絡先に「追加の電話番号」を追加するとのこと。もちろんこの追加された電話番号は悪意ある攻撃者が悪用するもので、その番号からのSMSは「知人からのもの」として取り扱われてSMSアプリに表示されるので、メッセージを受け取ったユーザーが、SMSを送ってきた主体が知人に成りすます攻撃者だと気づくことは困難です。もちろん、他人のスマートフォンの連絡先に自分のものではない番号が追加されたことを知る由もない「成りすまされた知人」が、自らを語る者がメッセージのやり取りをしていることを知るのは不可能です。なお、スミス氏によると、攻撃アプリは連絡先情報のうち、「ママ」「パパ」やニックネームなどの付加された情報からユーザーとの関連性の深い連絡先を攻撃対象として好んで利用するとのこと。

スミス氏はすでにAppleやGoogleに対して攻撃の可能性について報告済みだとのこと。スミス氏が指摘する「知人になりすますメッセージ攻撃」を悪用する具体的なアプリの名前については明言を避けていますが、「数カ月前にインストールしたアプリで、もはやApp Storeで利用することはできないアプリ」と述べており、Appleによる対象アプリの規制が行われていることを示唆しています。

なお、スミス氏は「攻撃を実現する具体的なコードに関しては表記しないが、アイデア自体はシンプルであり悪意あるコードを書き攻撃機能を実装するのは簡単な作業だ」と述べています。問題は、記事作成時点でiOSが連絡先へのアクセスについて、読み取り/書き込みの両方を1つの許可によって操作可能にしている点だとスミス氏は考えており、iOSやAndroidのパーミッションの取り扱いに根本的な問題があり、この点の改善を待つしかないそうです。なお、自己防衛のためにユーザーができることは、アプリに対して「連絡先へのアクセス」を不用意に許可しないことだとのこと。大手デベロッパーのアプリならまだしも、規模の小さな開発者による有名でないアプリではより一層の警戒が必要だとスミス氏はアドバイスしています。