GoogleのProject Zeroセキュリティイニシアチブの研究者らは木曜日、現在のバージョンのiOS 12を実行するiPhone XまでのiPhoneモデルを標的とした一連のエクスプロイトを長年にわたってホストしていた、ハッキングされたWebサイトのコレクションを発見したことを明らかにした。

概要を示すブログ投稿, Googleは、同社の脅威分析グループ(TAG)が今年初めにウェブサイトの「小さなコレクション」を発見したと述べた。

「ハッキングされたサイトは、iPhone 0-day を使用して、訪問者に対する無差別の水飲み場攻撃に使用されていました」と Project Zero の Ian Beer 氏は書いています。 「ターゲットの差別はありませんでした。ハッキングされたサイトにアクセスするだけで、エクスプロイト サーバーがデバイスを攻撃するのに十分でした。攻撃が成功した場合は、監視インプラントがインストールされます。」

ビア氏は、これらのサイトには週に数千人の訪問者が訪れると推定している。

TAG は、このハッキングは少なくとも 2 年間にわたって、非公開サイトの対象となる特定の iPhone ユーザー層に侵入する作戦を実行した悪役の仕業であると考えています。同グループは、iOS 10から現在のiOS 12までのiOSの「ほぼすべてのバージョン」をカバーする5つのユニークなiPhoneエクスプロイトチェーンの証拠を発見した。影響を受けるiPhoneはiPhone 5sからiPhone Xまで多岐にわたる。

Google の研究者らは合計で、iPhone の Web ブラウザ、カーネル、サンドボックスのセキュリティ メカニズムに影響を与える 14 件の脆弱性を発見しました。そのうちの 1 つはゼロデイでした。

によって指摘されたようにマザーボード、Googleの調査結果を報告しました今日の早い時間に、このエクスプロイトは、ファイルを盗み、リアルタイムの GPS 位置データをアップロードするように設計されたインプラントを展開するために使用されました。また、インプラントは、ユーザーのキーチェーンにアクセスしました、iMessage などのエンドツーエンド暗号化メッセージング アプリのパスワードとデータベースを安全に保存する機能です。また、連絡先データと写真のコピーも取られ、ビール氏は書き込みました。

感染した iPhone は再起動するとマルウェアが除去されるが、攻撃者は「デバイスにアクセスできなくなった後でも、キーチェーンから盗んだ認証トークンを使用して、さまざまなアカウントやサービスへの永続的なアクセスを維持できる」可能性があるとビール氏は指摘しています。あるいは、ハッキングされたサイトにアクセスすると、インプラントが再インストールされます。

Googleは2月1日にこの問題をAppleに通知し、穴をふさぐための7日間の猶予期間を同社に提示した。 Apple はその後、次のパッチをリリースしました。iOS 12.1.4(2月7日)そしてGoogleの調査結果を付随文書で明らかにした。サポートドキュメント

AppleのiOS 12.1.4アップデートもペアにパッチを当てたGoogle の Project Zero チーム リーダー、Ben Hawkes によって発見された Foundation と IOKit の欠陥の詳細。どちらのゼロデイ脆弱性も、実際のデバイスをハッキングするために使用されました。