Googleが「iPhoneの脆弱性を悪用するサイトが2年間にわたり個人情報を盗みまくってきた」と指摘

by Alvaro Reyes

Googleのサイバーセキュリティ研究チームの「Project Zero」が、iPhoneを密かにハッキングできる悪質なウェブサイトを多数発見したと報告しています。

Project Zero: Implant Teardown
https://googleprojectzero.blogspot.com/2019/08/implant-teardown.html

Project Zero: A very deep dive into iOS Exploit chains found in the wild
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Malicious websites were used to secretly hack into iPhones for years, says Google | TechCrunch
https://techcrunch.com/2019/08/29/google-iphone-secretly-hacked/

2019年、GoogleのProject Zero内に存在する脅威解析グループ(TAG)が、悪質な攻撃者によりハッキングされた複数のウェブサイト群を発見しました。これらのウェブサイトは、iPhoneに存在したゼロデイ脆弱性を用い、サイト訪問者に対して無差別に「水飲み場型攻撃」を仕掛けていた模様。

ハッキングされたウェブサイト群は無差別に訪問者を攻撃しており、これらのサイトにアクセスするだけでエクスプロイトサーバーが端末を攻撃し、攻撃が成功した場合は端末を監視するためのマルウェアがインストールされます。なお、ハッキングされたサイトは週に何千人ものユーザーがアクセスしていた模様。

by Hal Gatewood

TAGによると、ハッキングされたサイトの攻撃はiOS 10(2016年9月リリース)からiOS 12.1.2までのほぼすべてのバージョンのiOSを対象とした攻撃を仕掛けており、Apple純正のウェブブラウザであるSafariに関連する7つの脆弱性、カーネルに関する5つの脆弱性、2つのサンドボックスを迂回する脆弱性という、合計14種類の脆弱性を用いていたそうです。TAGは「この攻撃は、特定のコミュニティのiPhoneユーザーをハッキングするために継続的な取り組みを行うハッキンググループの存在を示唆しており、少なくとも2年間にわたり攻撃は行われてきました」と語っています。

TAGはハッキングされた悪質なウェブサイトが活用する脆弱性を特定し、Appleのソフトウェア開発チームに知らせた模様。なお、これらの脆弱性は、正しく動作しないコードやQAをスキップしたコード、実装前にテストやレビューがほとんど行われなかったコードなどに存在したそうです。攻撃者は複数の脆弱性を用いて端末のroot権限を取得し、秘密裏に悪意のあるアプリなどをインストールすることができたとのこと。

なお、悪質なハッキングされたウェブサイトは、主に5種類のエクスプロイトを用いてユーザーの端末を攻撃してきた模様。以下のグラフの縦軸には攻撃の対象となった端末が、横軸の上には攻撃の対象となったiOSのバージョンおよびエクスプロイトの種類が示されており、横軸下には攻撃が行われた時期が示されています。

Project Zeroの分析によると、ハッキングされた悪質なウェブサイトが用いるエクスプロイトはユーザー端末の写真やメッセージを盗み、位置情報をほぼリアルタイムで追跡するためにも使用されたとのこと。また、エクスプロイトはユーザーのパスワードが保存されているエリアにもアクセスできたそうです。

なお、ハッキングされた悪質なウェブサイトが活用していたゼロデイ脆弱性は、2019年2月7日に配信されたiOS 12.1.4により修正された模様。

Appleはroot権限を取得できる脆弱性を発見したセキュリティ研究者に対して支払われる報奨金を、100万ドル(約1億1000万円)にまで増加させました。この新しい報奨金プログラムは2019年後半に施行される予定です。Project Zeroはエクスプロイトチェーンから複数の脆弱性を発見したため、Google側は数億円分の報奨金を受け取る資格があります。