Google のセキュリティ専門家が、Apple の iOS に存在する重大なセキュリティホールの詳細を公開した。このホールを悪用すると、悪意のある人物がユーザーの介入なしに他人の iPhone を無線で乗っ取る可能性がある。
ハッカーが被害者の携帯端末を制御するために必要なのは、綿密に作成された悪意のあるAWDLパケットを送信することだけです。AWDLはApple Wireless Direct Linkの略で、Appleが独自に開発したWi-Fiベースのメッシュネットワークプロトコルです。この脆弱性を悪用するには、被害者と同じ従来のWi-Fiネットワークに接続している必要はなく、範囲内にいるだけで十分です。
2019年11月29日にAppleにこの脆弱性を報告したGoogle Project Zeroのイアン・ビア氏は火曜日、脆弱性を発見し、エクスプロイトを開発した経緯について詳細な技術解説を公開した。ビア氏はこれを、標的のデバイスを遠隔操作するための魔法の呪文に例え、概念実証用のエクスプロイトコードも公開した。
セキュリティ上の脆弱性(CVE-2020-3843、別名Hairless Huron)の修正は、2020年1月28日にiOS/iPadOS 13.3.1およびmacOS 10.15.3で提供されましたが、Appleが公式に認めたのは2020年2月6日でした。Appleはこの問題について、「リモートの攻撃者が予期せずシステムを終了させたり、カーネルメモリを破壊したりできる可能性があります」と説明しています。
Beerに起因する追加のCVE(CVE-2020-9906)は、悪用されるとメモリ破損を引き起こす可能性があり、iOS/iPadOS 13.6で修正されました。これは、Appleが2020年7月15日に公開したセキュリティ情報から9日後に公開されました。
Beer氏の報告では、調査の過程で3つのゼロデイ脆弱性を発見したとされていますが、CVEは2つしか挙げられていません。3つ目はCVE-2020-9844のようです。これはBeer氏が発見したカーネルメモリのバグで、2020年5月にiOS/iPadOS 13.5で修正されました。Beer氏とAppleは、この修正で問題が解決したと述べています。
CVE-2020-9906 と CVE-2020-9844 のどちらにも Vulnonym 名は付けられませんでした。
家に閉じこもっているなら、掘りに行こう
ビール氏は、新型コロナウイルス感染症によるロックダウンのさなか、6カ月間、寝室にこもって「近くにあるiPhoneを完全に制御できる、ワーム化可能な無線近接攻撃ツール」の開発に取り組んだと述べた。
このエクスプロイトにより、Beerは標的のデバイスの写真、メール、プライベートメッセージにアクセスし、リアルタイムで監視することが可能になりました。感染したリンクをクリックするなどのユーザー操作は一切必要ありません。また、ワーム化可能であるため、感染したデバイス自体が近くの他のiOSデバイスに感染させる可能性があります。
ビール氏は、自身が注目したバグについて、「信頼できないデータをカーネルで解析し、リモートの攻撃者にさらされる、C++ コードのごく単純なバッファ オーバーフロー プログラミング エラー」と説明しています。
そして、そのたった一つのバグによって、デバイスへの不正アクセスを防ぐはずだったセキュリティがすべて無効化され、任意のコードの実行とカーネルメモリの読み書きが可能になった。この研究は、NSAの元チーフハッカー、ロブ・ジョイス氏に強い印象を与えた。
すごい。複数の脆弱性を連鎖させないiOSエクスプロイトは、なかなかの成果ですね。https://t.co/ZccMcVTIch
— ロブ・ジョイス(@RGB_Lights)2020年12月2日
ビア氏は、この脆弱性が実際に悪用されたという証拠は見つかっていないと述べた。しかし、政府機関がデバイスのセキュリティを回避できるようにツールを提供していることで知られる企業は、こうした無線LANの脆弱性に注目しており、この脆弱性を悪用している可能性があると指摘した。
The Registerは、Apple社内でバグ開示がどのように処理されたかを知る関係者から、前述の通り、この問題はiOS 13.5で解決されており、影響を受ける製品のユーザーのほとんどは、顧客ベースがOSアップデートを迅速にインストールするため、既に保護されているとの情報を得ている。これは、アップデートが遅いAndroidエコシステムとは対照的だ。また、この攻撃にはWi-Fi圏内にいる必要があることも指摘されている。
アップルのウェブアプリとITインフラに55のセキュリティホールを発見した5人が、バグ発見賞金として30万ドルを獲得した。
続きを読む
ビア氏はツイッターで、特殊な無線機器を使えば数百メートル離れた場所から攻撃できると指摘した。
潜在的な緩和要因として、デバイス間のAirDropファイル共有などに利用されるAWDLが、攻撃を成功させるには有効になっている必要があることが挙げられます。しかし、Beer氏は、AWDLはデフォルトで有効になっており、デバイスが最後に電源を入れられてから少なくとも1回ロック解除されていれば、ロックされたデバイスでもリモートで有効にできると指摘しています。
ビア氏は、Arm の Memory Tagging Extension (MTE) によってセキュリティが向上する可能性があるにもかかわらず、vm_map.c1985 年に書かれ、現在でも使用されている のような iOS の重要なレガシー コードの近代化に Apple はもっと時間を費やすべきだと主張している。
また、彼は、攻撃者より一歩先を行くために、自動化されたテストの強化、セキュリティ上重要なコードのコードレビュー、内部ドキュメントの改善、そしてファジングにとどまらずバリアント分析などの検討も必要だと主張しています。®
