Appleは、「Masque Attack」の脆弱性に対応して、エンタープライズアプリケーションのインストールに関する新しいナレッジベースドキュメントを公開しました。
Masque攻撃では、iOSエンタープライズプロビジョニングプロファイルを使用して、既存の正当なアプリをエミュレートおよび置換する悪意のあるアプリをiOS App Storeの外部にインストールし、ユーザーが電子メールアドレス、電話番号、パスワードなどの重要な情報を入力するときに情報を取得します。
組織用に作成されたカスタムアプリをインストールする場合、「マスク攻撃」などの脆弱性を回避するためにAppleが提供するセキュリティガイドラインの一部を次に示します。
カスタムエンタープライズアプリをインストールする場合
- 会社の安全なWebサイトからエンタープライズアプリをインストールする必要があります。 サードパーティのWebサイトや、認識または信頼できないリンクからアプリをインストールすることは避けてください。
- 会社のWebサイトからカスタムエンタープライズアプリをダウンロードするためのリンクをタップすると、下の画像に示すように、「yourorganization.com」がアプリをインストールすることを通知するポップアップメッセージが表示されます。
- アプリをダウンロードし、「 信頼できないアプリ開発者」からアプリを実行するかどうかを確認する警告が表示されたら、「 信頼しない 」をタップして 、アプリをデバイスから削除します。
カスタムエンタープライズアプリをインストールしない場合
カスタムエンタープライズアプリをインストールしない場合は、App Storeからのみアプリをインストールする必要があります。
Masque攻撃の犠牲になっているかどうかを確認するには、[設定]> [全般]> [プロファイル]で、App Store以外のアプリのインストールに使用されたプロファイルを確認します。 信頼できない開発者のプロファイルが表示された場合は、削除してください。
ご質問があればお知らせください。
[アップル経由]