Google、悪意のあるWebサイトがiPhoneへのハッキングに長年密かに使用されていたことを明らかに
Google のセキュリティ研究者は、少なくとも 2 年間にわたって iPhone をハッキングするように設計されたマルウェアを配布していた一連のハッキングされた Web サイトを発見しました。これらの Web サイトは週に何千回もアクセスされ、iPhone のゼロデイ エクスプロイトを使用して訪問者を広範囲に攻撃するために使用されていました。
Web サイトにアクセスするだけで、ハッカーはユーザーの iPhone から連絡先、画像、その他のデータを慎重に収集できます。
「今年初め、Google の脅威分析グループ (TAG) は、ハッキングされた Web サイトの小規模なコレクションを発見しました。ハッキングされたサイトは、iPhone 0-day を使用して、訪問者に対する無差別の水飲み場攻撃に使用されていました」と Google の Project Zero の Ian Beer 氏は述べています。ブログ投稿に書きました木曜日に出版された。
「ターゲットに対する差別はありませんでした。ハッキングされたサイトにアクセスするだけで、エクスプロイト サーバーがデバイスを攻撃するのに十分です。攻撃が成功した場合は、監視インプラントがインストールされます。これらのサイトには毎週何千人もの訪問者が訪れると推定されています」と投稿では付け加えた。
今年初め、Google の脅威分析グループ (TAG) は、ハッキングされたサイトを発見した際に、秘密のハッキング活動を発見しました。
Google の TAG は調査中に、5 つのエクスプロイト チェーン全体で合計 14 件の iOS 脆弱性を発見しました。そのうち 7 件は iPhone の Web ブラウザー、5 件はカーネル、そして 2 件は個別のサンドボックス エスケープで、そのうち 1 件はゼロデイでした。同グループは、「iOS 10からiOS 12までのほぼすべてのバージョン」をカバーする5つのエクスプロイトチェーンを発見した。
ビール氏によると、セキュリティ上の欠陥のほとんどは、Apple デバイスのデフォルト Web ブラウザである Safari 内で見つかったという。影響を受けるiPhoneの範囲はiPhone 5sからiPhone Xまで。
Google によると、ユーザーの iPhone にマルウェアがインストールされると、インプラントは iMessage、写真、GPS 位置情報などの大量のデータにリアルタイムでアクセスできるようになるという。さらに、iPhone ユーザーのキーチェーンにもアクセスできました。これは、iMessage のようなエンドツーエンドの暗号化メッセージング アプリのパスワードとデータベースを安全に保存する機能です。
悪意のあるソフトウェアは、リアルタイムのユーザー位置データを含む盗まれたデータを 60 秒ごとに「コマンド&コントロール サーバー」に送り返し、この情報を 60 秒ごとに外部サーバーに中継します。
このインプラントは、Instagram、Telegram、WhatsApp などの暗号化されたメッセンジャー アプリ、さらには Gmail やハングアウトなどの Google アプリからもデータを収集する可能性があります。
ありがたいことに、このマルウェアは非永続的であると言われており、感染した iPhone を再起動すると駆除されることになります。このようなシナリオでは、「攻撃者は、デバイスにアクセスできなくなった後でも、キーチェーンから盗んだ認証トークンを使用して、さまざまなアカウントやサービスへの永続的なアクセスを維持できる可能性があります」とビール氏は指摘します。
インプラントは Apple デバイスに保存されないため、所有者が「侵害されたサイト」にアクセスすると、再びハッカーにアクセスできる可能性があるとビール氏は警告しました。
Googleは2月にこの攻撃についてAppleに通知しており、その後AppleはiOS 12.1向けのセキュリティパッチをリリースした。
「私たちはこれらの問題を2019年2月1日の7日間の期限付きでAppleに報告し、その結果、2019年2月7日にiOS 12.1.4がアウトオブバンドリリースされることになりました」とビール氏は述べた。
AppleはGoogleの調査結果を付随文書で明らかにしたサポートドキュメント。
Apple デバイスがこの欠陥から確実に保護されるように、デバイスで最新バージョンの iOS が実行されているかどうかを確認することをお勧めします。現在利用可能な最新のアップデートは iOS 12.4.1 です。
