Googleのセキュリティ研究者たちは、ユーザーが訪問すると、これまで公表されていなかったソフトウェアの欠陥を悪用してユーザーのiPhoneをこっそりハックする悪質なウェブサイトを複数見つけた。
GoogleのProject Zeroが米国時間8月29日の午後発表したブログ記事によると、それらのウェブサイトはこれまで何も知らぬ被害者たちが毎週何千人も訪れて「無差別攻撃」にやられている。
Project Zeroのセキュリティ研究家Ian Beer(イアン・ビア)氏は「ただそのサイトを訪れるだけで、悪者サーバーが訪問者のデバイスを攻撃し、攻撃に成功したらモニタリングを行うプログラム片を埋め込む」とコメントしている。
彼によると、それらのウェブサイトはこれまで「少なくとも2年以上」iPhoneをハッキングしていた。
研究者たちが見つけた悪行の連鎖は5種類あり、それらは12のセキュリティ欠陥を利用していた。そのうち7つは、iPhone内蔵のウェブブラウザーであるSafariと関係があった。その5種類の攻撃連鎖により犯人は、最高のアクセスと特権のレベルである「root」アクセスを入手した。そうすると犯人は、一般ユーザーには近づけない特殊な機能にもすべてアクセスできるようになり、悪質なアプリをインストールして、所有者への通知も同意もないままiPhoneを制御できた。
Googleの分析によると、アプリのセキュリティ欠陥、いわゆる脆弱性を利用して犯人は、ユーザーの写真やメッセージを盗み、ユーザーの位置をほぼリアルタイムで追跡できた。その埋め込まれた悪質なプログラムは、デバイス上にユーザーが保存しているパスワードのリストにもアクセスできた。
実害があったのはiOS 10から現在のiOS 12までのバージョンだ。
Googleは2月にAppleにこの脆弱性を教え、被害がひどく、しかも長期にわたっているから、できるだけ短期間で修復しユーザーにアップデートを提供すべきだと推奨した。通常この種の被害ではソフトウェアデベロッパーに90日間の猶予が与えられるが、Appleは事態が深刻なため1週間という期限を設けた。
そしてAppleは6日後に、iPhone 5sとiPad Air以降のiOS 12.1.4のアップデートを発行した。
ビア氏によると、今現在、別のハッキング作戦が展開されていることもありえる。
iPhoneとiPadのメーカーは、セキュリティとプライバシーに関してきれいな話ばかりしてきた。最近ではiPhoneのroot特権を密かに奪うようなバグの発見者への報奨金を100万ドルに増額した。年内に発効するこの新しい報奨金ルールによると、Googleはさしずめ数百万ドルぐらいもらえるかもしれない。
Appleのスポークスパーソンはまだコメントをくれない。
関連記事:アップルがバグ報奨金プログラムを拡大し最大1億円に
[原文へ]
(翻訳:iwatani(a.k.a. hiwa)
