Google、AppleのiPhone、iPad、Macユーザーを驚かせる:「多数の新しい脆弱性」が明らかに

BY admin
|
テクノロジーアプリイラスト

NurPhoto via Getty Images

Googleが、またやってしまったらしいです。 昨年、ハイテク企業のエリート・バグハンターであるProject Zeroは、Apple iOSのセキュリティ脆弱性を公開し、デバイスのハッキングを可能にすることでメディアを騒がせました。 このハッキングは中国が原因とされ、Apple社に限ったことではないことが判明し、Google社は非難を浴びました。 今、同じ Google チームが、「Apple のエコシステムに焦点を当てた」別の驚くべき情報開示を開始し、攻撃者にエントリポイントを提供するかもしれない基本的な脆弱性を調べています。

「Fuzzing ImageIO」と魅力的に題する Google のレポートのタイミングは、その内容と同じくらい興味深いものです。 先週、Apple のセキュリティ問題が 2 件、世界中で話題になっていました。 まず、Appleのメールアプリが悪意を持って作成された電子メールでクラッシュし、さらなる悪用のためのバックドアを開くことができると主張するセキュリティレポート、そして自然にバイラルなテキスト爆弾のストーリーです。

これらの最近の記事に共通しているのは、基本的なシステム処理が悪用される可能性があるという警告を発していることです。 デバイス上で予期しないソフトウェア応答をトリガーすることにより、通常ロックダウンされているコントロールが予測不可能な動作をするようにすることができます。 その結果、まったく別のベクトルを使った攻撃への道が開かれることも少なくありません。 興味深いのは、何十億人もの人が使っているメールやメッセージングの基本機能でさえ、バックドアを開ける可能性があるということです。

そして、昨日 (4/28) 、Google の Project Zero チームが「多数の新しい脆弱性を発見し、その後修正した」と報告したのは、これと同じテーマのためです。 この脆弱性は、ImageIOフレームワークの「メッセージングプラットフォーム上で送信されるメディアファイルをターゲットとした、古いタイプの問題」であると説明されています。 Google のレポートによると、複数の脆弱性が「発見され、Apple または各オープン ソース イメージ ライブラリのメンテナに報告され、その後修正されました」

したがって、ユーザーの観点からは、常に必要なように OS を更新していれば、保護されます。 しかし、それほど簡単ではありません。 Google は、公開された欠陥自体はデバイスの乗っ取りや深刻なデータ流出を可能にするほどではないものの、「十分な努力をすれば、見つかった脆弱性のいくつかは攻撃シナリオに悪用できる」と警告しています。 そして、Appleのメールの脆弱性についても、基本的にそのようなリスクが主張されている。 そのため、このような脆弱性が発見された場合、それを悪用した攻撃が行われる可能性があります」

MORE FROM FORBESBeware-This Malicious New iPhone ‘Text Bomb’ Crashes iOS 13: Here’s What You DoBy Zak Doffman

技術的に、画像を使用して脆弱性を公開することは珍しいことではありません。 ここ数ヶ月の間に、人気のあるメッセージング・プラットフォームに影響を与える、まさにそのようなレポートを目にしたことがあります。 画像を受信すると、デバイスはそのデータを解析し、どのリーダーでどのように表示するか、またどのようなパラメータを処理するかなどを決定する必要があります。 私たちが送るもののほとんどは一般的な JPEG、GIFS、または PNG ですが、Google は「かなりエキゾチックなものも数多くある」と述べています。 Google のアプローチは網羅的なものではなく、例示的なものであり、同じアプローチをより洗練されたバージョンにすれば、より良い結果が得られたかもしれないと指摘されています。 彼らは、最初の失敗を利用するために、画像ファジングを他のエクスプロイトでフォローアップしませんでした。

多くの脆弱性が見つかり、公開され、パッチが適用されました。 Google は、ベンダーが「継続的なファズテスト」を採用することを提案し、また、メッセージング プラットフォームでは、最も一般的な画像形式を除いて、「少なくとも対話が不要なメッセージ プレビューについては」拒否することを推奨しています。 攻撃の対象は少ないほどよく、チームが指摘するように、「そうすれば、攻撃対象は約 25 の画像フォーマットからほんの一握り以下にまで減少する」

これらの問題は、パッチ適用前の Apple のすべての OS に影響を与えるでしょう。 この種の攻撃ベクトルを使用して、攻撃される前にデバイスを脆弱にすることは、国家レベルであっても、高度なサイバー攻撃の中心となることがよくあります。 脅威グループは、ターゲットとなるデバイス上で実行されることが確実なエクスプロイトを賞品としており、そのため、コア OS 処理や WhatsApp のようなハイパースケールプラットフォームに焦点を当てています。 同社は、これらの問題にパッチを適用し、メールやテキストの脆弱性についても同様の対応を行っています。 しかし、これまでと同様、ユーザーの信頼を揺るがすことは問題である。 そして、プラットフォームのセキュリティを売りにしているAppleにとって、これらはメディアのヘッドラインを飾る決して良い話ではないのです