2021年10月14日 12時00分セキュリティ

Appleに報告したゼロデイ脆弱性がサイレント修正される事態をセキュリティ研究者が報告

Appleは2021年10月12日に「iOS 15.0.2」をリリースしました。iOS 15.0.2ではゼロデイ脆弱性などが修正されているのですが、開発者のデニス・トカレフ氏が7カ月前に報告していたGame Centerに関するゼロデイ脆弱性もひっそりと修正されていたことが明らかになっています。

Apple silently fixes iOS zero-day, asks bug reporter to keep quiet
https://www.bleepingcomputer.com/news/apple/apple-silently-fixes-ios-zero-day-asks-bug-reporter-to-keep-quiet/

今回Appleが密かに修正したのは、開発者のトカレフ氏が2021年3月から5月にかけて報告した4件のゼロデイ脆弱性のうちのひとつである「Game Centerに存在するというゼロデイ脆弱性」です。トカレフ氏は自身が報告したゼロデイ脆弱性が数カ月にわたりAppleに放置されたままであったため、2021年9月にその詳細を公開しました。

いかにしてマルウェアアプリはApp Storeに侵入するのか？ - GIGAZINE

トカレフ氏が報告したゼロデイ脆弱性は、2021年8月にリリースされたiOS 14.7以降、複数回にわたり修正されてきました。しかし、Appleはゼロデイ脆弱性を修正したことを公式のリリースノートに記載することはありませんでした。

トカレフ氏がゼロデイ脆弱性がアップデートの詳細に含まれていない理由を尋ねたところ、「(トカレフ氏が報告したゼロデイ脆弱性を修正したことを公に説明できていない理由は)処理の問題であり、今後のアップデートでセキュリティアドバイザリにクレジットを含めて記述される予定です。ご不便をおかけして申し訳ありません」とAppleは説明したそうです。

そして今回、iOS 15.0.2の中でトカレフ氏が報告していた「Game Centerに存在するというゼロデイ脆弱性」がサイレント修正されました。トカレフ氏は自身が報告した「Game Centerに存在するというゼロデイ脆弱性」がまたしてもサイレント修正されていることに気づいたため、再びAppleに説明を求めるメールを送信したそうです。その際、Appleはトカレフ氏に対して「メールのやり取りを機密に扱うように」と求めてきたとのこと。

Seems that they don't have a separate protocol on handling reports which were already disclosed. And if this message contains a legit excuse, they could save a tiny bit of reputation by making it public. But it's up to them, I won't disclose full message until I get credit. 2/3 pic.twitter.com/iG6waUELtk
— Denis Tokarev (@illusionofcha0s)

なお、Appleにゼロデイ脆弱性を報告したところ、密かにバグを修正されてしまったという報告が近年増加しています。セキュリティ研究者のジョゼ・ロドリゲス氏が2021年9月22日に一般向けに公開した、VoiceOver機能と共有ツールを使うことで「iPhoneのロックを解除しないままメモアプリにアクセス可能になってしまう脆弱性」も、iOS 15.0.1のリリース時にサイレント修正されています。

Appleが「iOS 15.0.1」でロック画面をバイパスできてしまう脆弱性を修正、しかしバグ報奨金を支払っていないとの指摘 - GIGAZINE