Appleのモバイルオペレーティングシステムで最近発見された脆弱性により、攻撃者はユーザーをだまして、さまざまな個人情報(バンキングアプリなど)にアクセスできる合法的なアプリに置き換えることができます。
ハッキングされたアプリは、電子メールまたはWebリンクを介して配布し、iOSのエンタープライズプロビジョニングシステムを使用してインストールできます。これにより、アプリをアプリストアの外からデバイスに追加できます。脆弱性、セキュリティ会社による「マスク攻撃」と呼ばれますFireeyeIOSは、コード署名証明書が同じバンドル識別子を使用するアプリで同じであることを確認しないため、可能です。
たとえば、Bank of Americaのモバイルバンキングと同じバンドル識別子を備えたアプリは、正当なBank of Americaアプリの上にインストールでき、後者のユーザーインターフェイスを模倣しているが、攻撃者のサーバーにログインデータを送信することができます。 Safariやメールなどのデフォルトアプリは影響を受けません。
Fireeyeは7月26日にAppleにこの問題を通知しましたが、iOS 8.1.1までのiOSバージョン。ベータは引き続き脆弱です。 Appleはまだ公開されていない。
マスク攻撃は、高度な形式のフィッシングと見なされる可能性があります。これは、ユーザーが敏感な情報を本物の外観でありながら最終的に偽のWebサイトに提出するように、電子メールで伝播するソーシャルエンジニアリング攻撃です。フィッシングは、攻撃を阻止するために設計されたWebブラウザーや電子メールクライアントに組み込まれた特別な保護にもかかわらず、引き続き大きな問題です。