「iLeakage」攻撃がApple Safariにパスワードを明らかにさせる可能性

一群の学術研究者が、「iLeakage」と名付けられた推測実行攻撃を開発しました。この攻撃は、最近のAppleデバイス上でSafariウェブブラウザを介してパスワードやメールなどの機密データを抽出することができます。

iLeakageは、ジョージア工科大学、ミシガン大学、ルール大学ボーフムの学者チームによって開発され、Safariのサイドチャネル耐性の徹底的な調査の後に発表されました。彼らはまた、ユーザーにこの脅威について警告する論文とウェブサイトを公開しました。

この攻撃は、Apple Silicon CPUとSafariブラウザに対する推測実行攻撃の初めてのデモンストレーションです。この脆弱性は、AppleのArmベースのAシリーズおよびMシリーズチップを搭載した2020年以降のMacおよびiPhoneに影響を与えます。

研究者たちは、iLeakageを悪意のあるウェブサイトとして実装した概念実証のエクスプロイトを作成し、iOSおよびmacOSデバイスで動作するAppleのネイティブシリコン（AシリーズおよびMシリーズCPU）のサイドチャネル脆弱性を利用してデータ漏洩を可能にしました。

彼らは、Safariのサイト分離ポリシーを悪用することによって、攻撃者のページがJavaScriptのwindow.open APIを使用して任意の被害者ページとアドレス空間を共有できる新しい技術を示しました。

ブラウザ内の追放セットを構築し、Safariのタイマー緩和策を回避することによって、研究者たちは最終的にAppleの圧縮された35ビットアドレス指定と値の汚染対策を推測型混乱を使用して回避し、ターゲットのMacまたはiPhoneからパスワードやメールなどの機密データを漏洩させることができました。

「したがって、我々は、window.openをonmouseoverイベントリスナーにバインドする攻撃者ページを作成し、ターゲットがページ上にマウスカーソルを置いているときに、我々のアドレス空間内で任意のウェブページを開くことができるようにしました」とチームの研究論文は述べています。

「ターゲットが開いたページを閉じても、メモリ内の内容はすぐには消去されないため、我々の攻撃は秘密を開示し続けることができます。」

iLeakage攻撃は、動的ウェブコンテンツを提供するための2つのプログラミング言語であるJavaScriptとWebAssemblyを使用して実行されます。

デモビデオ（1）（2）（3）で示されているように、研究者たちは、iPad上で動作するSafariでGmailメッセージを回復し、LastPassパスワード管理サービスを使用してSafariウェブブラウザに自動入力されたInstagramテストアカウントのパスワード、およびiOS用ChromeからのYouTubeの視聴履歴を回復することができました。

「我々は、攻撃者がSafariに任意のウェブページをレンダリングさせ、その後、推測実行を使用してその中に存在する機密情報を回収する方法を示します」と研究者たちは情報ウェブサイトに書いています。

「特に、我々は、Safariが悪意のあるウェブページに人気の高い価値のあるターゲットから秘密を回収させる方法を示します。最後に、これらが資格情報マネージャーによって自動入力された場合のパスワードの回収を示します。」

研究者たちによると、この欠陥は、Appleのポリシーにより、すべてのサードパーティのiOSブラウザがそのWebKitエンジンを使用する必要があるため、iOS上のすべてのブラウザに影響を与える可能性があります。幸いなことに、この推測実行攻撃は高度な技術知識を必要とするため、サイバー犯罪者には魅力がありません。

研究者たちは、2022年9月12日にAppleに脆弱性を通知しました。それ以来、同社はユーザーを保護するためにmacOS用の手動緩和策のみを実装したとチームは述べています。また、この緩和策は、Safariを実行しているMacに対してのみ機能します。

Appleは、この脆弱性を認識しており、将来のソフトウェアリリースに含まれるより恒久的な修正を保証しています。緩和策を有効にする方法については、iLeakageページを訪問できます。

「Appleが緩和策を本番環境にプッシュすると、我々はそれがユーザーを我々の攻撃から完全に保護すると期待しています」と、チームで働いたジョージア工科大学の博士課程の学生であるジェイソン・キムは付け加えました。

「Appleからは、彼らの緩和策がブラウザのパフォーマンスベンチマークにどのように影響するか、または緩和策が顧客に展開されるのはいつかについての連絡はありません。」