iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり

すべてのiPhoneおよびiPadや2020年以降に登場したApple Silicon搭載Macが対象となる攻撃手法「iLeakage」がジョージア工科大学の研究チームによって発見されました。iLeakageを悪用するウェブサイトにアクセスした場合、ウェブサービスのパスワードやメールなどの情報を盗み出されてしまいます。

iLeakage
https://ileakage.com/

iLeakageは必要になる可能性のある処理を事前に行うことでCPU性能の向上を図る技術「投機的実行」を悪用するタイプの攻撃で、iPhoneやiPadに搭載されているAシリーズチップおよびMacや一部のiPadに搭載されてるMシリーズチップに対して有効です。このため、すべてのiPhoneおよびiPadと2020年以降に登場したMacはiLeakageによる攻撃の対象となり得ます。

iLeakageは「ウェブサイトに悪意あるコードを仕込み、ウェブサイトにアクセスしたユーザーの行動を追跡して情報を盗み取る」という手順で攻撃を実行します。実際にiLeakageを用いたウェブサイトを介してInstagramのIDとパスワードを盗み出す様子を記録したムービーが以下。

iLeakage Demo 1: Attacking Instagram and LastPass - YouTube


ムービー内にはSafariを起動した状態のMacBookが映っており、Safariでは「iLeakageを用いたウェブサイト」が開かれています。この「iLeakageを用いたウェブサイト」には「ウィンドウ内をクリックすると新しいタブでInstagramを開く」という機能が組み込まれています。

ユーザーがウィンドウ内をクリックすると新しいタブでInstagramが開かれ、パスワード管理ツールによってIDとパスワードが自動入力されます。

しばらく待つと、「iLeakageを用いたウェブサイト」にInstagramのIDとパスワードが表示されました。デモムービーでは画面上にIDとパスワードが表示されただけですが、この攻撃が悪用された場合、攻撃者はIDとパスワードをそのまま盗み出せるというわけです。

以下のムービーには、「iLeakageを用いたウェブサイト」をiPadのSafariで開くことによってGmailで受信したメールの件名が盗み出される様子が記録されています。

iLeakage Demo 2: Gmail Inbox on Mobile Safari - YouTube


iLeakageはSafariのJavaScriptエンジンに特有の動作を悪用しています。このため、macOSではChromeやFirefoxなどのSafari以外のウェブブラウザを使うことでiLeakageの攻撃を阻止できます。しかし、iOS版のChromeやFirefoxは根幹部分はSafariを用いて構築されているため、iPhoneやiPadで使えるすべてのブラウザがiLeakageの攻撃対象となります。以下のデモムービーでは「iLeakageを用いたウェブサイト」によってiPad上のChromeで表示したYouTubeの視聴履歴が盗み出される様子を確認できます。

iLeakage Demo 3: YouTube Watch History on iOS Chrome - YouTube


研究チームは2022年9月12日にiLeakageの存在をAppleに報告しており、記事作成時点ではAppleはmacOS向けの攻撃軽減策を公開しています。ただしAppleの攻撃軽減策はデフォルトでは有効になっていないためユーザーが明示的に有効化する必要があります。macOS Sonomaの場合は以下のコマンドを実行することで軽減策を有効化できます。

defaults write com.apple.Safari IncludeInternalDebugMenu 1

macOS Ventura以前のOSを使っている場合、研究チームはmacOS Sonomaへアップデートすることを推奨しています。また、記事作成時点ではiPhone向けの軽減策は公開されていません。