マルウェアは、Apple の従来のアプリサポートの欠陥を悪用して、macOS Mojave の保護を回避し、ユーザーデータやウェブカメラ、マイクにアクセスする可能性があります。
デジタ・セキュリティ社の主任研究員パトリック・ウォードル氏は、今週モンテカルロで開催された「オブジェクティブ・バイ・ザ・シー」カンファレンスでのプレゼンテーションで、悪質なソフトウェアが古いインストール済みのアプリケーションを操作して、ユーザーデータやカメラ、マイクなどの機密コンポーネントに Apple が施した保護策を回避する方法について説明した。
昨年のワールドワイド開発者会議で Apple が発表した Mojave のセキュリティ防御では、アプリケーションがカメラやマイクへのアクセスを要求したり、写真、メール アーカイブ、ブラウザー履歴、システム バックアップ情報などの個人情報を閲覧しようとしたりするたびに、ダイアログボックスのボタンをクリックしてユーザーが明示的に許可を与える必要がある。
Appleは、さらなる保護策として、ユーザーインターフェースボタンの自動マウスクリックなどの「合成イベント」を無効化しました。これにより、悪意のあるアプリケーションがダイアログボックスでユーザーの認証を偽装するのを防止できます。
しかし、ウォードル氏は、新しいセキュリティ機能には明らかな欠陥があることを発見しました。それは、後方互換性サポートの実装です。彼はThe Registerに対し、オペレーティングシステムが古いアプリケーションの動作を妨げないようにするため、AppleはMojaveにセキュリティ保護を回避できるアプリのホワイトリストを組み込んだと語りました。具体的には、ホワイトリストに登録されたアプリは合成イベントを実行でき、これにより承認ボタンのクリックなどを回避できるようになるのです。
Wardle氏が発見したのは、Appleのホワイトリスト化メカニズムは、アプリケーションの実行ファイルの暗号署名のみをチェックし、プラグインやスクリプトなど、アプリケーションが読み込んで実行する追加コードはすべてチェックしていないという点です。つまり、攻撃者はホワイトリストに登録されたアプリを何らかの方法で改変、あるいは拡張することで、権限承認のクリックを偽装し、ユーザーに通知や操作を一切行わずに、Mojaveの保護されたリソースすべてにアクセスできるようになる可能性があるのです。
Wardle氏は概念実証において、VLCメディアプレーヤーの悪意あるプラグインを用いてこの手順を実行し、本来アクセスできないはずのリソースにアクセスしました。実際には、この拡張機能はソーシャルエンジニアリングやSafariの脆弱性を悪用することでインストールされる可能性があります。攻撃を実行するために必要なのは、ローカルでコードを実行することだけです。
なぜAppleはこれに気づかなかったのでしょうか?いい質問ですね…
ウォードル氏は、このバグは高度な脆弱性とは程遠く、クパチーノのエンジニアが何を探すべきか知っていれば、発見するのは特に難しいことではなかったはずだと述べた。
「もしセキュリティ研究者や、セキュリティに配慮したアップルの誰かがこのコードを監査していれば、気づいたはずです。このバグに気づいてしまえば、あとは些細なことです」とウォードル氏はエル・レグ紙に語った。
「彼らはコードを監査しているのではなく、新しいセキュリティ機能を実装しているのですが、実際には誤って実装されていることが多いのです。」
ウォードル氏はさらに苛立たしいのは、幹部らがmacOSやiOSデバイスのセキュリティとプライバシーを強化する取り組みを宣伝しているにもかかわらず、近年Appleがこうしたミスを繰り返していることだと述べた。
同氏は、自分や他の研究者らが何度もアップルのプラットフォームにおけるセキュリティ上の脆弱性を報告してきたが、クパチーノの巨人である同社が脆弱性のごく一部しか修正しないパッチを提供したり、欠陥の根本原因を露呈したままにしたりしてきたと説明した。
Appleからの重大ニュース:雑誌、ゲーム、テレビではなく、50以上のセキュリティバグを修正する必要がある
続きを読む
「私が受け取るバグやCVEのほとんどは、Appleが完全に修正しなかった同じバグの二次的、あるいは三次的な欠陥であることが多い」とウォードル氏は説明した。「Appleに欠陥を報告しても、彼らはそれを包括的に修正するわけではない」
これは研究者を困惑させるだけでなく、マルウェア作成者がオペレーティング システムのどこに攻撃に対する脆弱性があるのか、また、露出したままになっている穴をどのように悪用できるのかを知ることができるため、将来の攻撃のリスクも増大します。
このセキュリティ上の脆弱性に対するパッチはまだ存在しません。今週の公開は、今週開催されるWWDCカンファレンスを前に、Appleの幹部とエンジニアの両方にとって警鐘となるはずです。
Appleは通常、開発者会議でiOSとmacOSの新バージョンに搭載予定の機能を強調します。どちらも夏の終わり頃にリリースされます。それまでの間、クパチーノでは両プラットフォームのセキュリティ確保に向けて多くの作業が待ち受けています。®
