マイク・ピーターソン
· 1分で読めます
MacBook Pro
2人のセキュリティ研究者が、億万長者の映画プロデューサー、ジェフリー・カッツェンバーグ氏のMacのハッキングに成功した。これは、macOSデバイスを所有しているだけではサイバー脅威に対する自動的な防御にはならないことを証明している。
ソーシャルエンジニアであり、SocialProof SecurityのCEOであるレイチェル・トバック氏は、特定されていないmacOSデバイスへの攻撃を成功させました。トバック氏によると、この攻撃は、カッツェンバーグ氏が投資している個人情報盗難対策企業Auraのデモンストレーションだったとのことです。
億万長者をハッキングしました!
— レイチェル・トバック(@RachelTobac)2022年3月16日
まずは同意を得てから、ジェフリー・カッツェンバーグのハッキングに着手しました。@Evantobac と私は彼の写真、メール、連絡先を盗み、マイク(インジケーターランプなし)をオンにして通話を盗聴しました。
億万長者をハッキングした様子を収めた動画はこちらです:pic.twitter.com/t63JJQccIr
トバック氏は、すでに修正済みの脆弱性とソーシャルエンジニアリングのスキルを駆使し、カッツェンバーグ氏に偽装ウェブサイト上のフィッシングリンクをクリックさせました。カッツェンバーグ氏がクリックすると、彼女はMacから写真、メール、連絡先を盗み出すことに成功しました。
さらに、ハッカーはmacOS内蔵のマイクインジケーターを起動することなく、Macのマイクをオンにしてカッツェンバーグ氏の会話を盗聴することができた。
トバック氏の夫でハッカー兼セキュリティ研究者のエヴァン氏は、macOSの脆弱性についての詳細を記した別のTwitterスレッドを公開した。
このエクスプロイトは、Safari のユニバーサル クロスサイト スクリプティング バグを発見して 100,500 ドルの報酬を受け取ったことで有名になった Ryan Pickren 氏の研究に基づいて構築されました。
具体的には、この脆弱性を悪用した攻撃は、iCloudリンクとSafariの共有設定を利用して攻撃を実行しました。重要なのは、この攻撃が成功したのは、カッツェンバーグ氏のMacが数回アップデートされて古い状態だったためです。
— エヴァン・トバック (@evantobac) 2022 年 3 月 16 日この攻撃が成功したのは、Jeffrey の OS/ブラウザが 4 か月近く古くなっていたためです。
脆弱性の詳細な説明が公開され、私がそれを読んで攻撃に組み込むには 4 か月かかりました。
これは緩和策への良いきっかけとなります。
トバックス両氏によると、この特定の攻撃に対する軽減策としては、最新のセキュリティ更新プログラムをマシンに常に適用しておくこと、通信の検証に少なくとも 2 つの方法を使用すること、そして、特に緊急に送られてきた疑わしい電子メールのリンクをクリックしないようにすることなどが挙げられる。
