iOSの脆弱性悪用した攻撃、最新iOS12.4でも一部未対応か
2019・07・31 https://iphone-mania.jp/news-255175/
GoogleのPeoject Zeroは新たに、iOSでセキュリティ上の脆弱性が6つ発見されたと指摘しました。このうち5つはiOS12.4で対処済であるものの、1つは未だに対処されていないそうです。
未対応のバグも
GoogleのProject Zeroとは、企業が対処する前に脆弱性を利用した「ゼロデイ攻撃」が行われないよう、ソフトウェアの脆弱性を発見し該当企業に報告を行うプロジェクトです。
Project Zeroの研究者が今回明らかにしたのは、iMessageを利用してターゲットのiPhoneに攻撃を加えることを可能にする6つのバグです。これらの「非交流型(interactionless/zero interaction)」と呼ばれるバグのうち、6つのうち4つはiMessageに不正な形式のメッセージを送るだけで攻撃が可能と、7月上旬に問題となった脆弱性(iOS12.3で対処済)との関連性が指摘されています。バグを悪用することで、攻撃者はターゲットの情報を限定的ながら収集したり、iPhoneを遠隔操作したりといった行動が可能になります。
問題なのは、7月22日に公開されたiOS12.4で6つのうち5つには対処しているものの、残る1つについては未対応となっている点でしょう。Project Zeroはバグの詳細を公開する前に企業に通達を行うため、Appleも脆弱性は認識しているはずですが、iOS12.4で完全には対応しきれていないようです。5つについては近々開催される情報セキュリティのイベント「Black Hat」で共有されるものの、残り1つはAppleが対処するまで非公開となります。
脆弱性には高額な賞金がかけられる
今回はiOSのiMessageを悪用した攻撃に焦点が当てられていますが、SMSやMMS、通常のメールやビジュアルボイスメール(留守電メッセージの取捨選択が視覚的に可能となる仕組み)でも同様の攻撃は原理的に可能だ、とProject Zeroのナタリー・シルヴァノヴィク氏は指摘します。
企業が対処する前に攻撃に成功すれば、個人情報を大掛かりに抜き取ることができるため、こうした脆弱性の情報はブラックマーケットでやり取りされることもあります。価格は100万ドル(約1億円)以上が常で、1,000万ドル(約11億円)前後に相当する価値を持つことも珍しくありません。
実際、脆弱性に関する情報買い取りをハッカーから受け付けるZERODIUMのサイトを確認すると、iOS絡みで150万ドル〜200万ドル(約1億6,000万円〜約2億円)といった高額な値がつけられています。
「iOS」に潜む脆弱性のPoC、グーグルの研究者が公開
2019/07/31 https://japan.zdnet.com/article/35140666/
Googleのセキュリティチーム「Project Zero」の研究者2人によって、「iOS」に潜んでいる、「インタラクションを必要としない」セキュリティ脆弱性が6つ発見された。これら6つの脆弱性のうちの5つについて、このほど詳細な情報とPoC(概念実証)コードが公開された。なお、これらの脆弱性は「iMessage」クライアントを通じて悪用できるという。
6つの脆弱性はすべて、米国時間7月22日に配信が開始された「iOS 12.4」で対処されている。
ただ、これらの「インタラクションを必要としない」脆弱性を発見、報告したProject Zeroの研究者の1人であるNatalie Silvanovich氏によると、6つの脆弱性のうちの1つは、iOS 12.4では完全に対処されていないため、詳細の公開を控えているという。
同氏によると6つの脆弱性のうち4つは、悪用することで、ユーザーのインタラクションを必要とせずに、遠隔地から悪意あるコードをiOSデバイス上で実行できるようになるものだという。攻撃者は、被害者の端末に特定形式のメッセージを送信するだけでよく、ユーザーが届いたメッセージをオープンし、読もうとするだけで悪意のあるコードが実行される。
4つの脆弱性にはそれぞれ、「CVE-2019-8641」(詳細は非公開)と「CVE-2019-8647」「CVE-2019-8660」「CVE-2019-8662」という共通脆弱性識別番号が割り当てられている。リンク先の脆弱性レポートには、それぞれの脆弱性に関する技術的な詳細とともに、脆弱性を突くうえで使用できるPoCコードが記載されている。
5つ目と6つ目の脆弱性である「CVE-2019-8624」と「CVE-2019-8646」を悪用することで、攻撃者はデバイスのメモリーからデータを漏えいさせたり、リモートデバイス上のファイルを読み取ることができるようになる。これらもユーザーとのやり取りは発生しない。
セキュリティアップデートが公開された場合、速やかに適用することが望ましいのは言うまでもない。そして今回は、PoCコードが公開されているためユーザーはすぐさまiOS 12.4をインストールするべきだ。
これら6つの脆弱性を発見したのは、Silvanovich氏と、Project Zeroにおける同僚であり、セキュリティ研究者のSamuel Gros氏だ。
Silvanovich氏は、8月3日からネバダ州ラスベガスで開催されるセキュリティカンファレンス「Black Hat USA 2019」の場で、インタラクションを必要とせずに遠隔地から悪用できるこれらの脆弱性に関するプレゼンテーションを実施する予定だ。
同プレゼンテーションの概要には「このプレゼンテーションでは、インタラクションを必要とせずに遠隔地から利用できる、iOSの攻撃対象領域について探求する。また、SMSやMMS、Visual Voicemail、iMessage、『メール』における脆弱性の可能性についても考察し、これらのコンポーネントをテストするためのツールの設定方法を解説する。さらに、こういった手法を用いて発見した脆弱性の事例2つについても紹介する」と記されている。
推定5億円超もするiOSの6つの脆弱性をGoogleの研究者が開示
2019・07・31 https://gigazine.net/news/20190731-google-researchers-vulnerabilities-ios/
Google内に存在するゼロデイアタック専門の研究・開発チーム「Project Zero」が、Appleのモバイル向けOSである「iOS」上で複数のバグを発見しました。このバグを用いればユーザーの操作なしにiMessageアプリ経由で悪意のあるコードを実行可能になるとのことです。なお、Project Zeroが発見した6つのセキュリティ上のバグは、2019年7月23日に配信開始となったiOS 12.4ですべて修正されています。
Google researchers disclose vulnerabilities for 'interactionless' iOS attacks | ZDNet
https://www.zdnet.com/article/google-researchers-disclose-vulnerabilities-for-interactionless-ios-attacks/
Google Researchers Disclose PoCs for 4 Remotely Exploitable iOS Flaws
https://thehackernews.com/2019/07/apple-ios-vulnerabilities.html
iOS上に存在した「ユーザーの操作なし」で悪意のあるコードを実行したり、データを盗み出したりすることが可能になる6つの脆弱性について報告したのは、Project Zeroのメンバーのひとりであるナタリー・シルバノビッチ氏。なお、記事作成時点では6つの脆弱性のうち1つは詳細が非公開のままとなっています。
6つのセキュリティバグのうち、4つはリモートからiOS端末上で悪意のあるコードを実行することが可能になるというもので、コードの実行にユーザーの操作は不要です。攻撃者が行う必要があるのは、不正なメッセージをターゲットの端末に送信することのみで、あとはユーザーがメッセージを開けば悪意のあるコードが自動で実行されることとなります。
Project Zeroが報告した4つのバグは「CVE-2019-8641」(詳細非公開)、「CVE-2019-8647」、「CVE-2019-8660」、「CVE-2019-8662」です。リンク先にはバグに関する技術的な詳細のみでなく、バグを用いてエクスプロイトを作成するための概念実証コードも含まれています。
Project Zeroが発見した残りのセキュリティバグは、「CVE-2019-8624」と「CVE-2019-8646」です。これらのバグを使えば、攻撃者はユーザーの操作なしでターゲットとなる端末のメモリからデータを漏洩させ、リモート端末からそれらのデータを読み取ることが可能になります。
セキュリティバグを発見したシルバノビッチ氏と同僚のSamuelGroß氏は、アメリカのラスベガスで開催されるセキュリティカンファレンス「Black Hat USA 2019」で、バグの詳細をプレゼンテーションする予定です。なお、プレゼンテーションの概要には「iPhoneを攻撃するためにユーザーの操作を必要としない(非相互作用な)リモート脆弱性が存在するというウワサがありましたが、こういった種類の攻撃についての技術的側面は非常に限られています」と記されており、近年流行りの「ユーザーによる特定の操作なしで悪意のあるコードを実行可能となる脆弱性」についての一部詳細が明かされることとなる模様。
シルバノビッチ氏は脆弱性を発表した際に、6つの脆弱性について「(売れば)500万ドル(約5億4000万円)以上の価値がある」と主張しました。脆弱性の買い取りを行うZERODIUMの価格表に基づけば、今回発見された6つの脆弱性はそれぞれ100万ドル(約1億1000万円)をはるかに超える価格がつく可能性があります。また、テクノロジー系メディアのZDNetがエクスプロイトを取り扱うCrowdfenseに対して問い合わせたところ、ユーザーのクリックなしで動作するようなiOS向けのエクスプロイトであれば、影響度を考慮すればそれぞれ200~400万ドル(約2億2000万~約4億3000万円)程度で取引される可能性があるという回答が得られたそうです。そのため、ZDNetはシルバノビッチ氏による「500万ドル」という評価額は行き過ぎた評価ではなく、下手をすれば1000万ドル(約11億円)の価値がつく可能性もあると指摘しています。
なお、ZDNetは概念実証コードも公開されているため、いちはやくiOS 12.4にアップデートすることを推奨しています。
