要人監視などに用いられたスパイウェア・Pegasusで利用されたiPhone向けのゼロクリックエクスプロイトは「技術的に最も洗練されたエクスプロイト」とGoogleのProject Zeroが指摘

イスラエルのセキュリティ企業であるNSO Groupが開発したスパイウェアの「Pegasus」は、20カ国で180人以上のジャーナリスト監視に用いられたり、10人の首相・3人の大統領・1人の国王を監視するのに使われたりと、全世界で悪用が取りざたされたスパイウェアです。このPegasusでNSO Groupが悪用したiMessageのゼロクリックエクスプロイトの詳細を、Google社内のゼロデイ脆弱性の発見を任務とするセキュリティチームである「Project Zero」が公開しています。

Project Zero: A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

NSO Group used fake GIFs to hack Apple iMessage - Security - iTnews
https://www.itnews.com.au/news/nso-group-used-fake-gifs-to-hack-apple-imessage-574081

NSO Groupが提供するスパイウェアのPegasusは何年もの間、特定のターゲットのスマートフォンを監視するために使用されてきたもの。Pegasusは当初、SMS経由で以下の画像のようなURLを送信し、ターゲットがリンクをタップ(クリック)すると端末がハッキングされてしまうというものでした。このような1度のクリックで端末をハッキングしてしまうエクスプロイトを、ワンクリックエクスプロイトと呼びます。

しかし、NSO Groupはクリックの必要すらないゼロクリックエクスプロイトを開発しているといわれています。クリックの必要がないため、セキュリティ関連のテクノロジーに精通した人ですら端末をハッキングされたことに気付かないケースがあるとのこと。ゼロクリックエクスプロイトではユーザーの操作が必要ないため、攻撃者はワンクリックエクスプロイトのようなメッセージを送信する必要はありません。ゼロクリックエクスプロイトはバックグラウンドで密かに機能し、「これを防ぐ方法はない」とProject Zeroは説明しています。なお、Pegasusが使用したゼロクリックエクスプロイトは「FORCEDENTRY」と呼ばれるものです。

FORCEDENTRYではiPhoneのiMessage経由でターゲットにメッセージを送信し、このメッセージに添付されたGIF画像を表示するだけで端末をハッキングしてしまいます。AppleはiMessage上にGIF画像を表示する際、動画を1度だけ再生するのではなく、無限にループ再生させる仕様となっています。画像プレビューとトランスコーディングに関係する「IMTranscoderAgent」というプロセスで、「.gif」という拡張子の画像ファイルをレンダリングするのですが、Project Zeroは「ファイル名の末尾が『.gif』であるからといって送信されたファイルが本当にGIF画像であるとは限りません」と指摘。NSO Groupはファイル拡張子を完全に無視したGIF画像のフリをする「偽のGIF画像」を用いることで、外部コードの侵入経路を確保したと考えられています。

さらに、FORCEDENTRYはiOSが画像を描画するために使用するフレームワーク・Core GraphicsのPDF処理に存在する脆弱性を標的にすることで、複数のコードを実行可能としています。PDF内ではJavaScriptを利用することができるようになっているため、攻撃が実現してしまうというわけ。Project Zeroは「PDF内ではJavaScriptを利用することができるため、確実性の高いエクスプロイトの開発が簡単になってしまった」と指摘しています。

Project ZeroはFORCEDENTRYについて「これまで見た中で技術的に最も洗練されたエクスプロイトのひとつ」と評しています。

なお、Project Zeroは「NSO GroupがPegasusのために開発したエクスプロイト・FORCEDENTRYのサンプルを提供してくれたCitizenLabと、テクニカル分析で協力してくれたAppleのSecurity Engineering and Architectureグループに感謝します」としながら、今回発表したゼロクリックエクスプロイトの詳細は「これらの企業の意見を必ずしも反映したものではない」と記しています。