iPhone/iPadからiCloudのパスワードを盗める重大な脆弱性が発覚、Appleは脆弱性を約半年間放置した模様

iPhoneとiPadに搭載されているiOS 8には、標準アプリの「メール」がプリインストールされています。このメールアプリに重大なバグが発見され、悪用された場合にはiCloudのパスワードが漏れてしまう可能性が浮上しました。

jansoucek/iOS-Mail.app-inject-kit · GitHub
https://github.com/jansoucek/iOS-Mail.app-inject-kit

バグを発見したのはセキュリティ調査員のJan Soucek氏で、2015年1月にバグの詳細をAppleに報告したものの、その後公開されたiOS 8.1.2、および次のアップデートでもバグが修正されなかったため、検証用のコード(Proof-of-Concept)を公開。さらには、コードを使って実際にiOSからiCloudのパスワードを抜き取る様子を収めたムービーも公開しています。

Proof-of-concept: iOS 8.3 Mail.app attack - YouTube

iPadで新規メールを受信。

受信したメールを開くと、本文を確認する前にiCloudのログイン画面が出現します。

パスワードを入力して「OK」をタップすると……

iCloudにログインすることなく、「パスワードありがとう！」というメールを受信。iCloudのパスワードがメールの送信者に漏れたというわけです。

今度はiPhoneで検証。iPadと同じく受信したメールを展開。

iCloudのログイン画面が表示され、パスワードを入力してログインしようとすると……

一瞬ブラウザが立ち上がりますが……

またしても「パスワードをありがとう！」というメールを受信しました。

ムービーの通り、Soucek氏が発見した脆弱性を利用すると「iCloudのログイン画面」を偽造して表示させることができるというわけ。偽造されたログイン画面にパスワードを入力して送信してしまうと、パスワードが送信者に漏れてしまいます。

Soucek氏は1月に脆弱性をAppleに報告し、脆弱性についてTwitterでも公開しました。

しかしながら、先述の通りその後のアップデートで脆弱性が修正されなかったため、Soucek氏はGithubで検証用コードの公開に踏み切っています。Soucek氏が公開している検証用コードを使うと、パスワードを収集可能なメールを送信可能になります。iOSユーザーは、iCloudのパスワード入力を要求するメールが届いてもパスワードを絶対に入力しないように注意が必要です。

セキュリティ企業のErrata Securityのロブ・グラハムCEOは「今回発見された脆弱性はかなり重大と言えます」とArs Technicaに語っており、実際に今回の脆弱性を利用してパスワードを抜きとろうとするメールを6月10日に受信したとのこと。

今回の件に関してAppleは「実際に攻撃されたユーザーは今のところ見つかっていませんが、次のアップデートで修正できるように現在バグの修正に全力を注いでいます」とコメントしています。