Appleの重大なゼロデイセキュリティ脆弱性がKeychainとアプリのパスワードを攻撃者にさらす

TL;DR – セキュリティ研究者が、アプリデータ、パスワード、さまざまな他の認証情報を盗むために悪用される可能性のあるMac OS XとiOSの深刻なゼロデイエクスプロイトを発見しました。

インディアナ大学とジョージア工科大学の6人のセキュリティ研究者のグループが、iOSおよびMac OS Xの両方における重大なAppleのゼロデイセキュリティ脆弱性を発見しました。この脆弱性により、マルウェアがデバイスのアプリの認証情報に不正アクセスできるため、攻撃者がiCloudパスワード、メールアプリ、およびGoogle Chromeに保存されたすべてのウェブパスワードなどのユーザーの機密データを盗むのを助けます。要するに、このエクスプロイトはAppleのKeychainおよびサードパーティのアプリを直接さらします。

この脆弱性はApple、Google Chromeなどによって確認されています。

研究は、Unauthorized Cross-App Resource Access on MAC OS X and iOSというタイトルの論文に発表されました。関与した研究者は、Xing、Xiaolong Bai、XiaoFeng Wang、Kai Chen、北京大学のTongxin Li、ジョージア工科大学のXiaojing Liaoです。

The Registerのセキュリティデスクに話す際、チームはこの脆弱性を2014年10月にAppleに通知したと述べました。その後、Appleはこのエクスプロイトの深刻さを理解しており、チームにこの脆弱性に対処し、解決策を提供するための6ヶ月の期間を与えるように求めました。Appleはまた、研究者にこの問題が修正されるまで公にこの脆弱性を開示しないように指示しました。

2015年2月、Appleはチームに研究論文の事前コピーを提供するように依頼しました。残念ながら、研究チームは、最新のMac OS XおよびiOSのバージョンにも脆弱性が存在することを確認し、この脆弱性を公にする必要がありました。

Xingは次のように述べました。「私たちは完全にKeychainサービスを解読しました – これは異なるAppleアプリのパスワードや他の認証情報を保存するために使用されます – そしてOS Xのサンドボックスコンテナも解読しました。また、OS XおよびiOSのアプリ間通信メカニズム内の新しい弱点を特定し、Evernote、Facebook、その他の著名なアプリから機密データを盗むために使用できることを確認しました。」

Xingはさらに次のように付け加えました。「私たちの悪意のあるアプリはAppleの審査プロセスを通過し、AppleのMacアプリストアおよびiOSアプリストアに公開されました。私たちは完全にKeychainサービスを解読しました – これは異なるAppleアプリのパスワードや他の認証情報を保存するために使用されます – そしてOS Xのサンドボックスコンテナも解読しました。また、OS XおよびiOSのアプリ間通信メカニズム内の新しい弱点を特定し、Evernote、Facebook、その他の著名なアプリから機密データを盗むために使用できることを確認しました。」

研究チームはさらに、Appleの強力な審査にもかかわらず、脆弱性を悪用するマルウェアをMac OS XおよびiOSアプリストアにアップロードできたと述べました。攻撃に対して脆弱なこれらのアプリは、両方のオペレーティングシステムに対して承認されているようです。

グループはまた、さまざまなMacおよびiOSアプリでエクスプロイトをテストし、その結果はひどいものでした。ほぼ90％のアプリが脆弱であり、マルウェアに対して完全なアクセスを提供し、保存されたデータだけでなく、ログイン認証情報にもアクセスできることが示されました。

1Passwordアプリの開発者、AgileBitsは、エクスプロイトからアプリを保護する方法を見つけられなかったことを認めました。AgileBitのJeffrey Goldbergの最近のブログ投稿では次のように述べています。「私たちもLuyi Xingと彼のチームも、この問題を解決するための完全に信頼できる方法を見つけることができませんでした。」

セキュリティ研究グループによると、GoogleのChromiumセキュリティチームはより迅速に対応し、ChromeのKeychain統合を削除しました。Google Chromeのセキュリティチームも、攻撃がアプリケーションレベルで行われる場合、エクスプロイトから保護することはほぼ不可能であることを確認しました。

セキュリティ研究グループはさらに、OS X上のGoogle ChromeのKeychain脆弱性を暴露するビデオを公開しました。（以下のビデオをチェックしてください）

The Registerの投稿に対する反応として、Hacker Newsのコメントの1つは、マルウェアが既存のKeychainエントリに直接アクセスできないが、ユーザーに手動でログインするように強制し、新しく作成されたエントリに機密認証情報をキャプチャさせることで、ユーザーの機密データに間接的に不正アクセスできると示唆しています。

セキュリティ研究者はさらに次のように述べました。「Keychainアイテムにはアクセス制御リストがあり、通常は自分自身だけをホワイトリストに登録できます。私の銀行アプリがKeychainアイテムを作成すると、マルウェアはアクセスできません。しかし、マルウェアはKeychainアイテムを削除して再作成し、自分自身と銀行アプリの両方をACLに追加できます。次回、銀行アプリが認証情報を必要とする場合、私に再入力を求め、その後マルウェアによって作成されたKeychainアイテムに保存します。」

セキュリティ研究者はすべてのMac OS XおよびiOSユーザーに警告します。未知の開発者からアプリをダウンロードする際は、iOSおよびMacアプリストアからであっても、より慎重になるべきです。さらに、Keychainによるログインが必要な場合、システムが依然としてユーザーに手動でログインするように求める場合、これは警告を発し、ユーザーにシステムに何か問題があることを知らせるべきです。

今月初めにMac BIOS/EFI脆弱性が明らかになり、このエクスプロイトは攻撃者にMacの永久的な制御を与え、ドライブの再フォーマットもユーザーが攻撃者のアクセスと制御を防ぐのに役立たないことが判明しました。

今月検出された別の脆弱性は、iOSメールアプリのバグであり、これはフィッシング攻撃の可能性があり、攻撃者がユーザーがメールを開くときにリモートHTMLコードを実行し、そのコードを使用してiCloudログインプロンプトを模倣し、ユーザーにApple IDの認証情報を提供させることができることを示しています。

セキュリティ研究者は、一般的なルールとして、ユーザーはブラウザやパスワードマネージャーにオンラインバンキングの認証情報などの機密ログインを保存させないことが重要であると述べています。

セキュリティ研究者はさらに次のように述べています。「このような攻撃の結果は壊滅的であり、サンドボックス化されている場合でも、悪意のあるアプリに最も機密性の高いユーザー情報（例：パスワード）の完全な開示につながります。このような発見は […] 氷山の一角に過ぎません。」

研究者は論文の中で次のように述べています。「これらのセキュリティ脆弱性の根本原因を調査したところ、ほとんどの場合、OSも脆弱なアプリも相互作用する当事者を適切に認証していないことがわかりました。根本的な問題は、アプリが既存のKeychainアイテムの所有者を認証することの難しさから来ています。Appleはそれを行う便利な方法を提供していません。」