あるセキュリティ研究者が、人気の出会い系アプリHingeを、即席のコマンド&コントロール(C2)サーバー――攻撃者がマルウェアに命令を出し、データを流出させるための基盤――として転用できるという、型破りなシナリオを実証しました。発想自体は純粋に実験的なギミックのようにも聞こえますが、著者は、実運用においては一般ユーザーの通常トラフィックに自然に紛れ込めるがゆえに、現実の攻撃者にとって魅力的になり得ると強調しています。
この実証の中核は、Hingeがユーザー投稿の写真や動画をホストでき、それらがCDNに保存され、直接リンクで配信される点にあります。研究者は、バイナリデータを色付きピクセルで構成された画像へ変換するプロトタイプ――初歩的なステガノグラフィ――を構築しました。いったんアップロードされると、サービス側が保存前に画像を処理するため、データを確実に隠すことが難しくなります。しかし研究者は、これは乗り越えられない障害というより初心者にとってのハードルに近いとし、より洗練された手法であればこうした変換を生き残れる可能性を示唆しています。
さらに彼は、ユーザーの内部識別子さえ分かれば、文書化されていないリクエストによって特定のプロフィールデータを取得できる点にも注意を促しています。返答には、写真へのリンクやその他のプロフィール要素が含まれるとされています。正規ユーザーには通常のアプリ挙動に見えますが、攻撃者にとっては、この予測可能なコンテンツ配信が秘匿通信チャネルとして機能し、暗号化された指示や更新を都合よく配布できる可能性があります。
ネットワークトラフィックを調べるため、著者はAndroid端末上の通信を傍受し、アプリが厳格な証明書ピンニングを強制していないため解析が容易だと主張しています。また、傍受を可能にするためにアプリの設定を変更したことも説明しつつ、この作業は純粋に探索的なものであり、標準的なバグバウンティの開示枠組みには当てはまらないと強調しています。
実務的な示唆は、Hingeが突然そのまま攻撃基盤になったということではなく、ユーザー生成コンテンツをホストする大規模サービスであれば、意図せず便利なトランスポート層へと変えられてしまい得る、という点にあります。プラットフォーム側にとっては、メディアへのアクセス制御を精査し、識別子の列挙に対してAPIを堅牢化し、ネットワークセキュリティ機構を強化する必要性を浮き彫りにしています。
ユーザーにとっては、基本的なデジタル衛生の再確認にもなります。パスワードの使い回しを避け、アカウント保護機能を有効にし、見慣れたアプリの通常のメディアに見えたとしても、異常なリンクには慎重に対処することが重要です。
翻訳元: https://meterpreter.org/love-and-larceny-how-hinge-was-repurposed-into-a-malware-control-hub/
