アプリケーションはお互いにアクセスできない
アプリケーションは限定的な API を通じてのみシステムの機能 やリソースへアクセスできる
API
サンドボックス
オープン性 vs. セキュリティ
API の多様性とオープン性
Windows Android iOS
セキュリティ : 不正プログラムの作成の難しさ
= セキュリティアプリケーションの作成の難しさ
ソフトウェアの配布と安全性
マーケットへア プリケーショ
ンの登録
マーケットにお ける配布
デバイスへのイ ンストール 開発者の登録
•
開発者の登録費用– iOS: ¥8,400 (¥24,800
(企業内利用))/年, Android: $25 (1回のみ)
•
クレジットカードを利用–
セキュリティコードの利用• Apple App Store : 審査
• Google Play: 無審査
•
利用者はインストール前に評価、ダウンロード数や、リソースのアクセス許可(Android)などを参照可
•
デジタル証明書によるリリース後の不正プログラム感 染からの保護 (特にIOS)• IOS の場合は App Store からのみ
インストール• Google Play 以外からも自由にイ
ンストールJailbreak/ ルート化とセキュリティ
• Jailbreak
– iOS の脆弱性を利用して、 App Store 以外で提供される非正規ア プリケーション等のインストールが可能な環境を構築するこ と。 Apple のサポート外。
– Ikee 、 Duh 、 Ikee.B など Jailbreak したデバイスで動作する不正 アプリケーションが見つかっている
• Root 化
– Android ではセキュリティ等の理由からユーザーやアプリケー
ションがある階層以上にしかアクセスできないように制限がな
されている。その制限を解除し最低階層 (root) にアクセスできる
ようにすること
iOS の脆弱性を悪用する Jailbreak ツール
• 経緯
– 2010 年 8 月、 iPhone4 対応の Jailbreak ツー
ル ”JailbreakMe” がインターネット上で公開されてい ることを確認。 iOS の 2 つの脆弱性を悪用して
Jailbreak を簡単に可能とする。
• 悪用された脆弱性と流れ
– CVE-2010-1797 : Safari で PDF ファイルを閲覧する 際に生じる脆弱性。
– CVE-2010-2973 : iOS 搭載の端末に侵入した攻撃者 の権限を昇格させる脆弱性。
• 危険性
– 現在見つかっている不正アプリケーションは
Jailbreak したデバイスだけで動作が確認されている
Android マルウェアが採る主な攻撃戦略
• スパイウェア
– スマートフォンに存在す る機微な情報を搾取する
• バックドア / ボット
– 外部からコマンドを受信 し悪意ある活動を行う
• ダイヤラー
– 意図せず有償サービスへ
接続し、課金する
Android 不正プログラム例
アプリを装って侵入
• ANDROIDOS_GEINIMI.A
– ゲームアプリに混入、非公式サイトから配布。インストールし ているアプリや、利用者情報、機種モデル名や端末の GPS 情報 を外部に送信。
– “ 世界初の Android ボット ” として注目。
– ユーザ自身が非公式な場所からアプリやゲームを入手しインス トールして初めて感染する。
– Android Market では今のところ配布されておらず、中国の非公
式アプリ配布サイトからしか見つかっていない。
• 再パッケージされて配布されているアプリケーション例
45
Monkey
ドキュメント内
Trend Micro Mobile Security のご紹介 「セキュリティ対策」と「デバイス管理」をワンストップで
(ページ 39-45)