ベトナムの銀行アプリ、ユーザー監視に秘密のiOSプライベートAPIを使用
2025-03-31
ベトナムで人気の銀行アプリであるBIDV SmartBankingとAgribank Plusが、ユーザーのiPhoneにインストールされている他のアプリを検出するために、隠されたプライベートiOS APIを使用していることが判明しました。セキュリティ研究者によると、VNPayが開発したこれらのアプリは、商用モバイルアプリ保護ソフトウェアと「VNPay Runtime Protection」と呼ばれるカスタムコードを利用しています。このコードは、プライベートiOS APIのサイドチャネルの脆弱性を悪用してアプリを特定し、弱いXOR暗号化を使用してAPI文字列を隠蔽します。これはAppleのApp Storeポリシーに違反し、アプリの削除のリスクがあり、何百万人ものユーザーに影響を与える可能性があります。この事件は、モバイルセキュリティソリューションのBShieldとは関係ありません。