「ゼロクリック」iPhone攻撃がAppleのiOSメールアプリの欠陥を悪用

(写真提供:Jaap Arriens / NurPhoto、ゲッティイメージズ経由)

更新4/24: Appleは押し返している ZecOpsレポートで。 「私たちは研究者のレポートを徹底的に調査し、提供された情報に基づいて、これらの問題はユーザーに差し迫ったリスクをもたらさないと結論付けました...研究者はメールで3つの問題を特定しましたが、それだけではiPhoneとiPadをバイパスするには不十分ですセキュリティ保護、そしてそれらが顧客に対して使用されたという証拠は見つかりませんでした」と声明で述べています。

linksysea9500最大ストリームac5400

原作:
ハッカーは、これまで知られていなかったiOSの脆弱性を利用して、特別に細工された電子メールで人々のiPhoneに侵入した可能性があります。



この欠陥は、iOSの公式メールアプリに関係しています。大量のRAMを消費する電子メールを処理するときに、実際にソフトウェアをトリガーして不正なコンピューターコードを実行することができます。 によると サイバーセキュリティ会社ZecOpsに。

この欠陥を特に恐ろしいものにしているのは、特別に細工された電子メールが、ユーザーの操作なしにどのようにそれをトリガーできるかということです。代わりに、メールアプリがメールを読み込むときに、バックグラウンドで攻撃が発生します。したがって、ZecOpsはこの脆弱性をリモートゼロクリック攻撃と呼んでいます。

同社は、2018年1月までさかのぼって、この欠陥を悪用して企業ユーザー、企業幹部、その他のITサイバーセキュリティ企業を標的とするハッカーを検出しました。とはいえ、ZecOpsは攻撃を明確に確認できませんでした。脆弱性をトリガーするために使用された電子メールは、被害者のデバイスから削除されました。代わりに、同社は侵入中に残されたデジタルの手がかりを利用して攻撃ベクトルを再構築しました。 (そうすることで、ZecOpsは、ハッカーが偶然に引き起こした可能性が高い、別のiOSの「範囲外の書き込み」の脆弱性も発見しました。)

攻撃に関するZecOps情報バー。攻撃に関するZecOps情報バー。

ZecOpsによると、ゼロクリック攻撃はiOS 6に戻るiOSバージョンに影響します。ただし、この脆弱性にはいくつかの重要な制限があります。Appleのデフォルトのメールアプリに対してのみ機能し、GmailやOutlookなどの他のメールアプリに対しては機能しません。

この脆弱性はiPhoneを引き継ぐこともできません。代わりに、オペレーティングシステムを乗っ取る可能性があるため、別の攻撃と組み合わせる必要があります。それ以外の場合、脆弱性だけでは、メールアプリからの電子メールの変更、削除、またはリーク以外の何もできません。

編集者からの推薦

Apple iPhoneXおよびiPhone8 Plus 「パッチを当てられない」欠陥は古いiPhoneを脱獄(およびハッキング)する可能性があります iPhone 8/8 Plus iOSのエクスプロイト購入者によると、iPhoneのハッキングが市場に殺到している Apple iPhone 8 失敗したiOS12.4アップデートでiPhoneの脱獄(およびハッキング)が可能

もう1つの制限には、特別に作成された電子メールが含まれます。 ZecOpsは、平文で数ギガバイトを含む電子メールを使用して攻撃のデモを開発したと述べました。これは、GmailやYahooメールなどの一般的な電子メールサービスの上限を超える巨大なサイズです。それにもかかわらず、ZecOpsは、ハッカーが他のトリックを使用して、大きな電子メールを送信せずに脆弱性をトリガーできると述べました。 iPhoneも悪意のあるメッセージ全体をダウンロードする必要はありません。

によると マザーボードに対して、AppleはiOSへの次のリリースで欠陥にパッチを当てることを計画しています。現在、この修正はiOS13.4.5ベータリリースでのみ利用可能です。このバージョンにパッチを適用できない場合は、メールアプリケーションを使用せず、代わりにOutlookまたはGmailを一時的に使用するようにしてください。ZecOpsが追加されました。

攻撃の背後にいる可能性のある人は不明のままです。しかし、ZecOpsは、政府が後援するハッカーがゼロクリックの脆弱性の詳細をサードパーティから購入した可能性があると推測しています。少なくとも1つの「ハッカー・フォー・ハイヤー」組織が、電子メールアドレスを主要な識別子として利用する脆弱性を使用してエクスプロイトを販売していることを認識しています。

推奨されます