Googleによると、悪意のあるウェブサイトが数年間にわたりiPhoneを静かにハッキングしていた

Googleが悪意のあるウェブサイトが数年間にわたりiPhoneをハッキングするために秘密裏に使用されていたことを明らかにする

Googleのセキュリティ研究者は、少なくとも2年間にわたりiPhoneをハッキングするために設計されたマルウェアを配信していた一連のハッキングされたウェブサイトを発見しました。これらのウェブサイトは、週に何千回も訪問されており、iPhoneのゼロデイ脆弱性を使用して訪問者を広範囲に攻撃するために使用されていました。

ウェブサイトを訪れるだけで、ハッカーはユーザーのiPhoneから連絡先、画像、その他のデータを密かに収集することができました。

「今年の初めに、Googleの脅威分析グループ（TAG）は、ハッキングされたウェブサイトの小さなコレクションを発見しました。ハッキングされたサイトは、訪問者に対する無差別なウォーターホール攻撃に使用されており、iPhoneのゼロデイを利用していました」と、GoogleのProject Zeroのイアン・ビアーは木曜日に公開されたブログ投稿で書いています。

「ターゲットの選別はありませんでした。ハッキングされたサイトを訪れるだけで、エクスプロイトサーバーがあなたのデバイスを攻撃し、成功すれば監視用インプラントをインストールすることができました。これらのサイトは週に何千人もの訪問者を受けていると推定しています」と投稿は付け加えました。

今年の初め、Googleの脅威分析グループ（TAG）は、ハッキングされたサイトに出くわした際に、この秘密のハッキング操作を発見しました。

調査中、GoogleのTAGは、5つのエクスプロイトチェーンにわたって合計14のiOSの脆弱性を発見しました：iPhoneのウェブブラウザ用に7つ、カーネル用に5つ、2つの別々のサンドボックスエスケープのうちの1つはゼロデイでした。このグループは、「iOS 10からiOS 12までのほぼすべてのバージョンをカバーする」5つのエクスプロイトチェーンを見つけました。

ほとんどのセキュリティの欠陥は、AppleデバイスのデフォルトのウェブブラウザであるSafari内で見つかりましたとビアーは指摘しました。影響を受けたiPhoneは、iPhone 5sからiPhone Xまでの範囲です。

Googleによると、マルウェアがユーザーのiPhoneに正常にインストールされると、インプラントはiMessages、写真、リアルタイムのGPS位置情報などの膨大なデータにアクセスできるようになります。さらに、iPhoneユーザーのキーチェーンにもアクセスでき、これはパスワードやiMessageのようなエンドツーエンド暗号化メッセージングアプリのデータベースを安全に保存する機能です。

悪意のあるソフトウェアは、盗まれたデータを「コマンドおよびコントロールサーバー」に60秒ごとに送信し、この情報を外部サーバーに60秒ごとに中継します。

インプラントは、Instagram、Telegram、WhatsAppなどの暗号化メッセンジャーアプリからデータを収集することもでき、GmailやHangoutsなどのGoogleアプリにもアクセスできます。

幸いなことに、このマルウェアは持続性がないとされており、感染したiPhoneを再起動するとクリーンアップされます。このようなシナリオでは、「攻撃者はデバイスへのアクセスを失った後でも、キーチェーンから盗まれた認証トークンを使用して、さまざまなアカウントやサービスへの持続的なアクセスを維持できる可能性があります」とビアーは指摘しています。

インプラントはAppleデバイスに保存されないため、所有者が「侵害されたサイト」を訪れると、再びハッカーにアクセスを提供する可能性があるとビアーは警告しています。

Googleは2月にAppleに攻撃について通知し、その後AppleはiOS 12.1のセキュリティパッチをリリースしました。

「私たちは2019年2月1日に7日間の期限でこれらの問題をAppleに報告し、その結果、2019年2月7日にiOS 12.1.4のアウトオブバンドリリースが行われました」とビアーは述べました。

Appleは、Googleの発見を伴うサポート文書で開示しました。

Appleデバイスがこの脆弱性から保護されていることを確認するために、デバイスが最新のiOSバージョンを実行しているかどうかを確認することをお勧めします。現在利用可能な最新の更新はiOS 12.4.1です。