iPhoneとiPadの脆弱性を悪用すれば、遠隔から情報を盗み見たり、不正操作できたりする。セキュリティ企業が攻撃を再現し、アップデートの重要性を呼び掛けた。
セキュリティ企業のラックは8月12日、iPhoneとiPadの脆弱性を悪用する攻撃が発生する可能性が高まったとして、米Appleが11日(現地時間)に公開したiOSの更新版の適用を呼び掛けた。脆弱性を悪用する方法をデモで再現し、iPhoneとiPadのリスクについて警鐘を鳴らしている。
Appleが公開した更新版の「iOS 4.0.2」(iPhone 3G以降と第2世代以降のiPod touchが対象)と「iOS 3.2.2」(iPadが対象)では、Compact Font Format(CFF)データを処理する際のスタックバッファオーバーフロー問題に起因するFreeTypeの脆弱性と、IOSurfaceプロパティを処理する際の整数オーバーフローの脆弱性を解決した。
2つの脆弱性は、iPhoneやiPadのロックを解除する「脱獄」(Jailbreak)を実行するためのツール「JailbreakMe 2.0」で使用されていたもの。ユーザーがJailbreakMe 2.0から入手したPDF文書を開くと、まずPDF内のシェルコードが実行され、特権が取得される。次にIOSurfaceプロパティ関連の脆弱性を悪用するプログラムがJailbreakMeのWebサイトからダウンロード実行される。これにより、権限が昇格されて管理者権限の利用が可能になり、端末が「脱獄」した状態になる。
ラックの最高技術責任者の西本逸郎氏は、脆弱性悪用の方法を応用することで、遠隔からiPhoneやiPadを不正操作できるようになると指摘する。攻撃者は、端末に保存されている電話帳やメール、画像などのデータを抜き取ることができるようになる。また、端末にコマンドを送信することで、特定の電話番号に発信したり、Webサイトに接続させたりすることが可能になるという。
同社は報道機関向けの説明で、脆弱性を悪用する攻撃のデモンストレーションを行った(デモのための特別な環境で実施)。まず端末に脆弱性を悪用するマルウェアを感染させる方法として、JailbreakMeと同様に細工したPDFファイルを端末上で開き、複数のデモ用の不正プログラムをインストールさせた。この中には、遠隔のPCからiPhoneを制御するためのSSHのプログラムも含まれていた。
攻撃のケースとして、端末内のデータの抜き取りや通話発信をするようすを再現した。データの抜き取りでは、PCから対象のデータを指定すると端末内のデータが圧縮ファイルとして作成され、SSH経由で攻撃者のPCに転送される。iPhoneやiPadではデータの管理をSQLiteで行っており、暗号化で保護されていない。攻撃者はSQLiteのツールを使って、入手したデータをそのまま参照できてしまう。
また通話発信をする攻撃では、攻撃者が任意の電話番号を指定してコマンドを送信すると、すぐに端末が指定先に接続する動作を始めた。特定の相手に電子メールやSMSを送信したり、任意のWebサイトに接続させることも可能だという。例えば、指定先が有料ダイヤルだった場合は、ユーザーに高額な通話料金が請求される恐れがある。攻撃者にはこの仕組みで多額の金銭を得ることができる。
西本氏によれば、Webサイトを閲覧しただけでマルウェアに感染する「ドライブバイダウンロード」手法を使えば、JailbreakMeではなくてもiPhoneをマルウェアに感染させ、ユーザーの意図に関係なく、「脱獄」状態にさせることができる。特に正規のWebサイトを改ざんしてドライブバイダウンロードでマルウェアに感染させる「Gumblar攻撃」が使われた場合は、危険性がさらに高まる恐れがある。
端末でどのような不正行為を実行するかは攻撃者の思いのままであり、同社がデモで再現した攻撃以外にもさまざまな脅威が起こり得る。不正行為のためにマルウェアもそれによって変化するという。「iPhoneやiPadで発覚した端末が乗っ取られるリスクは、ほかのスマートフォンにも起こり得る」(西本氏)
従来のスマートフォン向けのアップデートは機能の追加やパフォーマンスの改善、不具合の解消といったものが中心であり、端末の利便性を高める目的で適用するユーザーが多い。しかし今は、セキュリティリスクにつながる脆弱性を解決する観点でもベンダーによるアップデートが増える可能性がある。ユーザーはセキュリティ対策を意識して積極的にアップデートを適用していくことが重要になる。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.