サンドボックス攻撃に注意、iOSの脆弱性がビットコインとイーサリアムのウォレットを脅かす

Bitcoin ウォレットと Ethereum ウォレットは最近になって iOS App Store に登場し始めたばかりですが、暗号通貨のユーザーは特別な注意を払う必要があります。新たなハッキングにより、攻撃者は正規のアプリを悪意のあるバージョンに置き換えることができるようになります。これは、近い将来にビットコインやイーサリアムのウォレットの偽バージョンがリリースされる可能性が高いことも意味します。

ただし、この攻撃では、攻撃者がデバイスに物理的にアクセスできる必要があることに注意することが重要です。ほとんどの人にとって、これは攻撃を受ける可能性が明らかに減少することかもしれませんが、脅威が突然なくなると単純に想定しないでください。この脆弱性は先週の Hack in the Box カンファレンスで公開されましたが、Apple はまだ修正していません。さらに、この攻撃はジェイルブレイクされていない iOS デバイスでも機能します。

では、この iOS の脆弱性は具体的に何を引き起こすのでしょうか?

どうやら、この iOS の脆弱性は 2016 年 1 月 27 日頃に発見されたようです。Apple はこの脆弱性を修正しようとしましたが、同時に、そのパッチは不完全です。この脆弱性が今日でも悪用される可能性がある要因はいくつかあります。攻撃者は、電子メールアドレスと Apple ID を必要とする制限付き開発者証明書を必要とします。

「サンドジャッキング」と呼ばれるこの攻撃により、攻撃者はアプリケーションのサンドボックスの内容にアクセスできるようになります。サンドジャッキングは、デバイスをバックアップし、元のアプリを削除して不正なバージョンに置き換えることで機能します。デバイスの所有者が「バックアップ復元」機能を開始すると、侵害されたアプリが自動的にインストールされます。ユーザーがこれらのアプリを手動で承認する必要がある場合、2 番目のオプションを提供せずに、このリストをそのまま実行する可能性が高くなります。

iOS デバイスに物理的にアクセスするのは難しいと考える人もいるかもしれません。しかし同時に、私たちのデバイスにアクセスできる修理店、家族、友人もたくさんいます。デバイスを他人に任せるべきではないものの、この状況ではほとんどの人が予想するよりも多くの攻撃を受ける機会が残されます。

これは、iOS デバイスを使用する暗号通貨ユーザーにとって重大なリスクをもたらします。これまでのところ、Apple はこの脆弱性を悪用して乗っ取られたアプリを報告していない。しかし、それは不可能ではなく、将来的には悪意のあるビットコインやイーサリアムのウォレット アプリケーションが登場する可能性があります。したがって、ユーザーはデバイスを他人に渡す際には注意する必要があります。