米Googleの脆弱性調査プロジェクト「Project Zero」は8月29日(現地時間)、米Appleに2月1日に報告し、Appleが2月7日にiOS 12.1.4のアップデートで対処したエクスプロイト(OSの脆弱性を攻撃するプログラム)の詳細を説明した。
このエクスプロイトは、iOS 10〜iOS 12までのほぼすべてのバージョンをカバーし、少なくとも過去2年間使われていたという。
Project Zeroは今年の初めに、複数のWebサイトがハッキングされ、それらのWebサイトを訪問するiPhoneユーザーを無差別に攻撃していることを発見。これらのWebサイトには週当たり数千人が訪問している。
iPhoneでこれらのサイトを訪問するだけで、エクスプロイトがiPhoneを攻撃し、成功すると監視プログラムをiPhoneにインストールする。
この監視プログラムの目的は、端末内のファイルと、リアルタイム位置情報の収集だ。パスワードを管理する「キーチェーン」、エンドツーエンドで暗号化されているメッセージングアプリの「iMessage」「Telegram」「WhatsApp」のデータベースなどにアクセスできる。
これらのメッセージングアプリの内容は暗号化されているため、通信を傍受されても解読されないが、端末自体が侵害されればメッセージの内容が読まれてしまう。Project Zeroはそれを示す画像も紹介した。
この監視プログラムは、端末を再起動すれば消去されるが、再起動するまでにパスワードや位置情報を盗まれる恐れがある。
Project Zeroが発見したエクスプロイトは5つ。のべ14の脆弱性(Safariの7つ、カーネルの2つ、サンドボックスエスケープが2つ)を利用するものだった。Project Zeroは通常、脆弱性を報告する企業に対し、対処までに90日間の猶予を与えるが、今回は緊急性が高かったため、猶予は1週間だった。
Project Zeroのイアン・ビア氏は、ユーザーが自分を守るためにできることは、「スマートフォンは生活に不可欠なものではあるが、侵害されればすべてのデータが盗まれる可能性があるということを意識することだ」としている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR