カスペルスキーは12月25日、2017年に日本で発生した、iOS構成プロファイルを悪用したジョークプログラム「iXintpwn」(YJSNPI)を振り返った。
YJSNPIは、悪意あるJavaScriptとiOS構成プロファイルのペアで、わずらわしいアイコンを大量に作るプロファイルをインストールさせるジョークプログラム。
感染媒介となるのは「iOS構成プロファイル」と呼ばれるXMLファイル(.mobileconfig ファイル)で、iOS構成プロファイルの仕様に沿って各種設定が記載されている。YJSNPIはこのiOS構成プロファイルを乱用したものだ。
YJSNPIの特徴として、「mobileconfigファイルが消せない」「わずらわしいアイコンが大量に現れてしまう」「ホームスクリーン上に作られてしまったWebクリップアイコンを消せない」「Webクリップから望まないURLへリダイレクトされる」といった特徴が挙げられている。
-
mobileconfig インストール後の画面 資料:カスペルスキー
YJSNPIで使われていたTwitterアカウントは既に停止させられており、活動も停止している様子だったが、同社の研究者は、このジョークプログラムに関連した別の開発プロジェクトを見つけたという。
-
他の開発者によるiOS構成プロファイル生成用ページ 資料:カスペルスキー
このWebサイトはテスト用のJavaScriptを用意し、ダウンロードできるように実装。そのスクリプトはYJSNPIと同じようなiOS構成プロファイルのXMLを生成するように記述されており、YJSNPIの設定のいくつかを修正したもののように見えたという。
しかし、公開されたコードは壊れているように見え、このプロジェクトはYJSNPIとほぼ同等にしつらえてあり、おそらくソースコードからいくつかアイデアをコピーしただけだと思われるとのこと。
また、同社の研究者は、YJSNPIで使われたiOS構成プロファイルをもとにドクロアイコンに入れ替えて試した画像が海外で公開されていたことを発見した。
-
改変した mobileconfig のデモ 資料:カスペルスキー
そのiOS構成プロファイルは約40MBもあり、そのほとんどはサイズの大きい画像とアイコンタイトルで埋め尽くされていたという。実際にインストールした様子を示す動画では、デバイスの操作が極端に遅くなり不安定になると述べられているそうだ。
iOS構成プロファイル乱用の影響としては、VPNの設定変更などでインターネットへの経路変更を行い、通信からデータを盗み取るなどの害を及ぼすことが考えられると指摘されている。
また、不正なiOS構成プロファイルによって作成されたWebクリップをタップすることで、ユーザーの意図しない不正なサイトへアクセスさせることも可能となる。
アクセス先がフィッシングサイトなら、アクセス専用ページと偽ってユーザーアカウントの窃取を行うことや、不正なJavaScriptの実行も考えられる。そのほか、Safariのアイコンを見えなくする、カメラを使用禁止にするなど、制限設定のいくつかもiOS構成プロファイルを通して設定されてしまう可能性があるという。
AppleもiOS構成プロファイルのインストールに際して、複数回の確認手段を実装しておる、自動ではインストールされない。しかし万が一、不正なiOS構成プロファイル(mobileconfigファイル)をインストールしてしまった場合は、Apple Configurator 2を使って設定を回復させることができるという。
