ハッキングされたウェブサイトにおけるiPhoneの脆弱性は何年も気づかれなかった

グーグルのセキュリティ対策プロジェクト「プロジェクト・ゼロ」の研究者らは木曜日、長年にわたり、現行バージョンのiOS 12を搭載するiPhone XまでのiPhoneモデルを標的とした一連の脆弱性攻撃をホストしていたハッキン​​グされたウェブサイトのコレクションを発見したことを明らかにした。

Googleはブログ投稿で、同社の脅威分析グループ（TAG）が今年初めに「小規模なウェブサイトの集合」を発見したと述べた。

「ハッキングされたサイトは、iPhoneのゼロデイ脆弱性を悪用した無差別な水飲み場型攻撃に利用されていました」と、Project Zeroのイアン・ビア氏は記している。「標的の区別はなく、ハッキングされたサイトにアクセスするだけで、エクスプロイトサーバーがデバイスを攻撃し、成功した場合は監視インプラントをインストールします。」

ビア氏は、これらのサイトには毎週何千人もの訪問者が訪れると見積もっている。

TAGは、これらのハッキングは、少なくとも2年間にわたり、非公開サイトが標的とした特定のiPhoneユーザー層に侵入する作戦を実行した悪意のある人物によるものだと考えています。同グループは、iOS 10から現在のiOS 12まで、iOSの「ほぼすべてのバージョン」をカバーする5つの独自のiPhoneエクスプロイトチェーンの証拠を発見しました。影響を受けるiPhoneは、iPhone 5sからiPhone Xまでです。

Google の研究者は、iPhone のウェブブラウザ、カーネル、サンドボックスのセキュリティメカニズムに影響を及ぼす脆弱性を合計 14 件発見したが、そのうち 1 件はゼロデイ脆弱性だった。

本日Googleの調査結果を報じたMotherboardが指摘しているように、これらのエクスプロイトは、ファイルの窃取とリアルタイムのGPS位置情報のアップロードを目的としたインプラントの展開に利用されました。さらに、このインプラントはユーザーのキーチェーンにアクセスしていました。キーチェーンは、iMessageなどのエンドツーエンド暗号化メッセージングアプリのパスワードやデータベースを安全に保存する機能です。Beer氏によると、連絡先データと写真のコピーも盗まれました。

感染したiPhoneは再起動するとマルウェアが除去されるものの、ビア氏は、攻撃者が「デバイスへのアクセスを失った後でも、キーチェーンから盗んだ認証トークンを使って様々なアカウントやサービスへの継続的なアクセスを維持できる可能性がある」と指摘している。あるいは、ハッキングされたサイトにアクセスすることで、マルウェアが再インストールされる可能性もある。

Googleは2月1日にAppleにこの問題を報告し、7日間の猶予期間を設けて脆弱性を修正するよう求めた。Appleはその後、2月7日にiOS 12.1.4でパッチをリリースし、付随するサポート文書でGoogleの調査結果を開示した。

AppleのiOS 12.1.4アップデートでは、GoogleのProject Zeroチームリーダー、ベン・ホークス氏が発見したFoundationとIOKitの脆弱性2件も修正されました。これらのゼロデイ脆弱性はいずれも、実環境下でデバイスのハッキングに悪用されていました。