リリース直後の「iOS 15」でロック画面をバイパスしてメモの中身にアクセスできてしまう脆弱性が発見される

iOS 14.8およびiOS 15には「iPhoneのロックを解除しないままメモアプリにアクセス可能になってしまう脆弱性」が存在することが、セキュリティ研究者の公開したムービーにより明らかになっています。この脆弱性はiOS 15がリリースされた翌日に公開されました。

Lock screen bypass enables access to Notes in iOS 15 | AppleInsider
https://appleinsider.com/articles/21/09/20/lock-screen-bypass-enables-access-to-notes-in-ios-15

iOS 15 bug lets anyone bypass locked iPhone to access Notes app
https://mashable.com/video/apple-ios-15-lock-screen-bypass-notes

iOS 15にロック画面をバイパスしてメモアプリの中身にアクセスできてしまう脆弱性が存在すると指摘したのは、セキュリティ研究者のジョゼ・ロドリゲス氏。この脆弱性はiPhone画面をタップしてそのエリアにある要素を音声で読み上げてくれる「VoiceOver」機能と、共有ツールを組み合わせることでメモアプリに不正にアクセスするというものです。

ロドリゲス氏が公開した脆弱性を再現するムービーが以下。

iOS 15 Lock Screen Bypass - YouTube

脆弱性の再現に使用するのは最新バージョンのiOS 15にアップデート済みのiPhone X。

一度端末をロックします。

ロック画面からSiriを起動。

VoiceOver機能を有効化します。

コントロールセンターを開き……

メモアプリを起動。この時点では新しいメモが作成されるだけで、メモの中身をチェックすることはできません。

再びコントロールセンターを開き……

次は時計アプリのストップウォッチを開きます。

画面上をタップしてVoiceOver機能に各要素を読み上げさせながら……

コントロールセンターを開いて……

すぐに閉じると、VoiceOverが「Notes(メモ)」と連呼します。

スクリーンショットを撮影すると、「0 Seconds(0秒)」とストップウォッチ画面上の表記を再び読み上げるようになりました。

ここで画面の何もない場所をタップすると……

メモに保存しておいた内容をVoiceOverが読み上げてしまいます。これでロック画面を解除せずにメモの中身にアクセスすることに成功。

さらに、VoiceOverのジェスチャー機能で「Edit(編集)」から読み上げ中のテキストをコピーすることも可能。

一度画面をロックして……

Siriを使ってVoiceOverを無効化します。

そして、攻撃を仕掛けているiPhoneに別の端末から電話をかけます。

この電話にそのまま出るのではなく、「メッセージ」と書かれたボタンをタップして、カスタム返信を使用。

メール作成フォームが表示されるので、ここにペーストすると……

さきほどコピーしたメモの中身を第三者に送信できてしまうわけです。

なお、今回報告された脆弱性は攻撃者が「攻撃の対象となるiOS 14.8あるいはiOS 15にアップデートされたiPhone」に物理的にアクセスできる必要があります。また、「VoiceOver機能が有効化されている」あるいは「ロック画面からVoiceOver機能を有効化するためにSiriが有効化されている」必要や、「コントロールセンターにメモやストップウォッチなどの脆弱性を再現するために必要なアプリが含まれている」必要まであるため、実際にこの脆弱性を使って第三者のiPhoneのメモを不正に読み取ることはかなり難しいものと思われます。

なぜそのような脆弱性をロドリゲス氏が公開したのかというと、同氏はAppleのバグ報酬プログラムについて多くの人に知ってもらうためと説明しています。Appleのバグ報酬プログラムに対しては、セキュリティ研究者から「GoogleやMicrosoftのような他のテクノロジー企業はAppleよりもはるかに密接なコミュニケーションを取り、バグ発見の報酬もより高額な報奨金を支払ってくれる」といった不満の声が上がっており、ロドリゲス氏も同意見であるとのこと。

ロドリゲス氏は今回発見した脆弱性よりも深刻な「CVE-2021-1835」や「CVE-2021-30699」といった脆弱性についてAppleに報告したことがあるそうです。これらの脆弱性はロック画面を解除しないまま、WhatsAppなどのメッセージアプリにアクセスすることができてしまうというものでした。

Appleはバグ報酬プログラムにおいて「最大2万5000ドル(約270万円)」の報奨金を設定していますが、ロドリゲス氏がこれまで報告した脆弱性では、1つ目は限度額の2万5000ドルが支払われたものの、2つ目は5000ドル(約55万円)の支払いしか受けられなかったそうです。また、Appleはロドリゲス氏が報告した脆弱性を軽減しただけで完全に修正することはなかったそうで、一連の対応に不満を抱いたロドリゲス氏はYouTube上で今回の脆弱性を公開することに決めたと語っています。

なお、ロドリゲス氏は今回の脆弱性について事前にAppleに報告していないと語っています。