背景
最近になって以前の iOS ハードウェア全体で新たな脆弱性「checkm8」が発見され、攻撃者が群がる事態になっています。そうした中、スマートフォンを脱獄(ジェイルブレイク)できるとして iPhone ユーザをおびき寄せる偽の Web サイトを発見しました。問題のサイトでは悪意のあるプロファイルをダウンロードさせ、これを介して攻撃者がクリック詐欺におよびます。
先述の「checkm8」は BootROM 内の脆弱性で、ユーザ自身がブートプロセスを制御できる以前の iOS デバイス(iPhone 4S から iPhone X まで)が影響を受けます。今回の記事で取り上げる攻撃では checkra1n(checkm8 の脆弱性を利用して BootROM を変更し、脱獄したイメージを iPhone に読み込ませるプロジェクト)を利用しています。「checkm8」の脆弱性は、Axi0mX が開発した「ipwndfu」と呼ばれるオープンソースツールを使ってエクスプロイトされる可能性があります。
今回の攻撃者は、悪意のある偽の Web サイト(checkrain[.]com)を運営し、checkra1n を探しているユーザをおびき寄せています。
この発見は大きなニュースとなり、セキュリティ業界で注目を集めました。モバイルデバイスの脱獄は、研究者や一般ユーザだけでなく、攻撃者にとっても魅力的です。研究者や一般ユーザにとっては、OS を詳しく調査したり、メーカーによる制限を回避してデバイスにアプリをインストールしたりできるメリットがあります。逆に攻撃者にとっては、デバイスを完全に制御し得る手段となります。
今回の攻撃者は checkra1n の脱獄アプリを提供すると主張しているほか、「CoolStar」や Google Project Zero の Ian Beer といった有名な脱獄研究者と連携しているとも述べています。攻撃者の Web サイトは疑わしさを隠し、「脱獄用アプリ」をダウンロードさせます。ただし実際にはアプリなど存在せず、悪意のあるプロファイルがダウンロードされます。
iOS デバイスの脱獄は、初代 iPhone がリリースされた 2007 年から行われています。しかし Apple 社はソフトウェアの不具合を素早く修正する傾向にあるため、iOS では脱獄が困難です。逆に言えば、脱獄状態を維持するために、セキュリティを犠牲にしてまで旧バージョンの iOS を使い続けるユーザもいるのです。これは非常に危険な問題です。一部のユーザにとって脱獄は、Apple 社が制限している各種操作を実行するための手段にもなっています。たとえば、iOS デバイス上で SSH を実行(リモートアクセス)する、アイコンやテーマを変更する、海賊版のアプリやゲームなどを不正にインストールする、などの操作です。
偽の Web サイト「Checkrain」と iOS プロファイル
偽の Web サイトにアクセスすると、まず以下のダウンロードボタンが表示されます。
「checkm8」の脆弱性(それを利用した checkra1n の脱獄も含む)は、A5 ~ A11 の CPU を搭載した iOS デバイスにのみ影響します。Web サイトを疑うべき最初の危険信号は、checkm8 の存在しない「A13 デバイス」に言及していることです。また、「NO PC」(PC を使わずに checkra1n の脱獄をインストールできる)とも記載していますが、実際のところ checkra1n では USB ケーブル経由で PC から DFU モードにする必要があります。
偽の脱獄方法では、hxxps://checkrain[.]com/checkra1n.mobileconfig から「mobileconfig」プロファイルを iOS デバイスにインストールするよう求めます。使われている SSL 証明書の発行元は LetsEncrypt で、「checkra1n」は実際の脱獄方法の名前です。しかし「checkra1n」の公式 Web サイトでは SSL 証明書が使用されていません。これもユーザを騙すための手口だと考えられます。
「アプリ」をダウンロードしてインストールすると、checkrain アイコンが iOS のスプリングボードに表示されます。しかし実際のところ、アイコンは URL を開くブックマークの一種です。ユーザにはアイコンがアプリのように見えますが、システムレベルで見ると完全なる別物です。インストールされるプロファイルは次のとおりです。
騙されたユーザは、図のアプリをインストールすることで脱獄できると考えますが、もちろんこれは偽物です。以下のようにプロファイルを調べれば、悪意のあるアクティビティを特定できます。
上の図から、開発者向けの「ウェブクリップ」機能を利用していることがわかります。ウェブクリップとは、検索バー、URL バー、ブックマークなしで Web ページを全画面に表示できる機能です。つまり「インストール」をタップすると、あたかもアプリが脱獄を処理しているかのような画面が表示されますが、実のところ hxxps://checkrain[.]com/jb のページを見せているに過ぎないのです。
偽の「脱獄処理中」画面
問題の Web サイトの全容については、以下のビデオをご覧ください。
Web サイトは、アクセス元が iOS デバイスであることを確かめる機能も備えています。デスクトップブラウザから Web サイトにアクセスすると、次のエラーメッセージが表示されます。
ビデオではプロセス全体を網羅しています。最後の部分では、デバイス上で複数回のリダイレクトが発生していることがわかります。この目的はクリック詐欺にあります。つまり複数の認証チェーンを経た上で、最終的には、アプリ内課金のある iOS ゲームのインストールページを開きます。
その過程では複数の広告トラッキングや認証を経由して位置情報を処理し、最後に目的のアクションを実行します。今回の手口では、App Store から「POP! Slots」という iOS 向けスロットゲームをダウンロードさせることが最終目的です。
脱獄を完了させるには 7 日以内にゲームをプレイする必要があるという、以下の通知を表示します。
これは明らかにデタラメです。ただしユーザが実際にプレイすれば広告の表示なども増えるため、攻撃者にとって追加の収入源になる可能性があります。
ドメイン情報
Cisco Umbrella の情報から、騙されたユーザは世界中にいることが判明しています。攻撃は米国に集中していますが、以下のように、米国以外でも発生しています。
攻撃が確認された国には、米国、英国、フランス、ナイジェリア、イラク、ベトナム、ベネズエラ、エジプト、ジョージア、オーストラリア、カナダ、トルコ、オランダ、イタリアが含まれています。
攻撃で使われたドメインはすべて、公式 Web サイト(checkra1n[.]com)の登録から 24 時間以内に登録されています。攻撃者は明らかに Reddit のような人気サイトをフォローし、偽サイトを周到に更新し続けています。
まとめ
今回の手口の目的は単なるクリック詐欺ですが、より重大なセキュリティ侵害を引き起こす可能性を秘めています。「ウェブクリップ」のプロファイルの代わりに、モバイルデバイス管理(MDM)用のファイルを攻撃者が独自に作成し、ユーザにインストールさせる可能性も考えられます。iOS の MDM を使った攻撃は以前から発見しており、記事 1 や記事 2、記事 3 などで解説してきました。これらの理由により、不明なプロファイルを決してダウンロード、インストールしないでください。スマートフォンに不正なプロファイルが追加されていないか、そして MDM プラットフォームに登録されていないかは、
次の方法で確認できます。
1. MDM によって設定された制限を確認するには、[設定] > [一般] > [プロファイルとデバイス管理] > MDM > [機能制限] の順にタップします。
2. MDM プロファイルによってインストールされたアプリケーションを確認するには、[設定] > [一般] > [プロファイルとデバイス管理] > MDM > [アプリ] の順にタップします。
注:[プロファイルとデバイス管理] メニューが利用できない場合、スマートフォンは現在 MDM に登録されていないか、信頼されたプロファイルがスマートフォンに 1 つもないことになります。
本稿は 2019年10月15日に Talos Group のブログに投稿された「Checkrain fake iOS jailbreak leads to click fraud」の抄訳です。