エフセキュアのJailbreakMeのQ&Aを読んで、すごくヤバい未来が思い浮かんだ。
エフセキュアブログ : JailbreakMe脆弱性に関するQ&A
重要な点は、JailbreakMeでやっていることはPDFビュアーの穴などを使ってiPhone/iPadのシステムをいじってしまえるということなので、この仕組みをそのまま使えば何でもできるワームを作ることができて、そしてその穴をふさぐ手段は無かったということ。
本日、8/12に4.0.2と3.2.2でこの穴への対処がされたが、JaiilbreakMeは8/1には公開されていた。
ちょっと想像してほしい。
iPhone持ってる人が知人からメールが届いたら、とりあえず見て確認するよね。もうそれだけで感染。
そして次の瞬間にはリストから全知人に対してメールを送っている。
すべてのiPhoneが攻撃対象になる*1から、瞬く間に広まるだろう。
これはPCのメールウイルスでは、今までさんざん使い古されてきた手口だ。
今この手法が流行らないのは、うかつに添付メールを開く人が減ったことと、すぐに感染者が特定されてしまい駆除されてしまうことからだったが、iPhoneの場合はまだユーザの免疫が少ないことや、駆除自体が難しいことからまずはこの手法をメインで広めるのではないかと思う。
もちろんGumblar的な手法、twitterやfacebookのアカウントを盗んで感染先ページへと誘導するというのと、ハイブリッドで使われることも考えられる。
とにかく、すごいスピードでiPhoneユーザ全体に広まるんじゃないだろうか。
で、これらのiPhoneを全部bot化するだけでも凄いけど、もっとすごいのはここから簡単に金にする手法があるということだ。
VoIPから国際電話を掛けることで金をかすめ取る攻撃手法 - モーグルとカバとパウダーの日記
このエントリーで書いたように、国際電話を掛けさせることで儲ける手法がすでに使われている。
iPhoneは電話だから、bot化されたら当然国際電話を掛けることもできるだろう。
ウイルス感染しても、どうせパケット定額だから大丈夫〜とか思ってたら、えらい額の請求書がくるはめになるわけだ。
iPhoneをbot化してもPCよりもあまり使い道がなければ攻撃者の食指も動かないだろうが、botにしてスパム出す仕事を受けてちまちま儲けるよりも、もっと簡単にざっくり儲ける手があるのならやる気も出るでしょ。
今後、またゼロデイの脆弱性が発見されて、それが最初に攻撃者によって使われた時には、このシナリオが成り立つだろう。
むろんこれはiPhoneに限らず、アンドロイドなどのスマートフォンでも成り立つ。
これからスマートフォンに対してのセキュリティは、PCなんかよりもずっとシビアな世界になっていくんではないだろうか。
(追記)
エフセキュアブログ : 気になるJailbreakMeのソースコード公開による影響度
JailbreakMeのソースコードも公開されたとのこと。
ここでも懸念されてるように、これでより一層簡単にこのexploitを利用したiPhone/iPad向けウイルスが作れるようになってしまった。
(関連)
