iPhone狙いの悪意あるサイト、2年は放置されていた

 
Google Project Zeroの研究者が、iPhoneをハッキングする目的で制作されたWebサイトが、少なくとも2年以上放置されていたと報告しています。

サイトを訪問するだけで攻撃される

Google Project Zeroのメンバーであるイアン・ビア氏によれば、これらのサイトは週に何万回も閲覧されており、長らく運営されていました。
 
ハッキングされたサイトを訪問するだけでiPhoneは攻撃者のサーバから攻撃を受け、それが成功するとマルウェアをインストールされてしまいます。
 
これらの攻撃の一部は、脆弱性が発見され修正プログラムが提供される日よりも前にその脆弱性を攻略する「ゼロデイ攻撃」と呼ばれるものです。企業はその脆弱性に気づいていないため、ゼロデイ攻撃は成功率が高いと言われています。

Googleは5つのエクスプロイトチェーンを発見

iPhoneはハッキングが難しいため、iPhoneのエクスプロイトは比較的高値で取引されています。米メディアViceによれば、iOSの様々な部分の多様な脆弱性を含んだエクスプロイトの完全なチェーンの最新版であれば、最低でも300万ドルの値がつくとのことです。
 
ビア氏はブログにおいて、GoogleのThreat Analysis Group （TAG）が、14の脆弱性に基づく5つのiPhoneエクスプロイトチェーンを発見したと報告しています。これらエクスプロイトチェーンは、iOS10から現行のiOS12にまで及ぶものでした。同氏によると少なくともこのチェーンのうちの1つはGoogleが発見した時点ではゼロデイであり、GoogleがAppleに警告したあとに、問題を修正したiOSがリリースされています。

キーチェーン情報にアクセス

攻撃が成功すると、悪意あるサイトはiPhoneにマルウェアをインストールします。今回Googleが報告しているマルウェアは「主にファイルを盗み、位置データをリアルタイムでアップロードすることに焦点を当てていた。マルウェアはコマンド・アンド・コントロール（C&C）サーバから60秒ごとに指令を要求していた」（ビア氏）とのことです。
 
マルウェアはまた、パスワードや、メッセージアプリ（WhatsAppやiMessageなど）で暗号化されたデータなどを含む、ユーザーのキーチェーン情報にもアクセスしていました。
 
ユーザーがiPhoneを再起動するとマルウェアは消去される仕組みではあるものの、その時点ではすでに多くの情報が流出してしまっています。攻撃者はユーザーのアカウントやサービスへのアクセスに必要なパスワードや認証用トークンなどを入手、ほかのサーバなどへ転送されている、ともビア氏は記しています。

他にも攻撃は存在する

これまで報告された攻撃の多くは、たとえば悪意あるサイトへのリンクを埋め込んだテキストメッセージを送信するといった、よりターゲットを絞ったものでした。しかし今回Googleが発見した攻撃は、サイトを訪問したすべてのiPhoneユーザーに仕掛けられる、いわば無差別攻撃です。
 
ビア氏は今回報告しているのはあくまでGoogleが発見に成功した、攻撃者が「失敗したケース」であり、未発見の悪意あるサイトや攻撃が確実に存在すると警告しています。

 
 
Source:Google Project Zero via Vice
Photo:Pixabay
(lunatic)