セキュリティ企業ZecOpsは、iOSのメール機能において、これまで発見されていなかった2つの脆弱性が同社の顧客の一部に侵入し、アプリがクラッシュしたと発表した。これは、一連の「ゼロデイ」攻撃に利用される可能性のあるメカニズムを示唆している。iOS 13では、メールを受信するだけで脆弱性を悪用される可能性がある。iOS 12では、ユーザーが悪意のあるメールを閲覧するだけで(添付ファイルを開いたりリンクをタップしたりしなくても)、脆弱性が悪用される。ZecOpsによると、これらの脆弱性はテスト時点でiOS 6まで遡って発見されており、実際の攻撃は2018年1月まで遡って追跡されている。
Appleはメールアプリの脆弱性を確認していますが、それだけでは情報の窃取やデバイスの乗っ取りには利用できません。現実世界での攻撃には、未知の、未公開の、価値の高いエクスプロイトがさらに必要となるでしょう。ZecOpsは、顧客のデバイスが侵害されたかどうか、またどのように侵害されたかを判断するために必要な情報を開示していません。Appleが既に最新のiOSベータ版で修正プログラムをテストしていることを考えると、平均的なiPhoneユーザーにとってのリスクは非常に低いと結論付けています。
2つの脆弱性は、本質的に非常に単純です。メールは、大量のメモリを使用するメッセージを正しく処理できません。非常に大きな添付ファイルが問題を引き起こす可能性があります。また、リッチテキスト形式(RTF)や複数パートの添付ファイル、あるいはiOSにメモリを大量に消費させるその他の未公開の手法を用いて巧妙に作成されたメッセージも問題を引き起こす可能性があります。ZecOpsは、攻撃者がメッセージを展開した後に削除できると考えています。
Appleは、現在のiOS 13.4.5ベータ版とiOS 13の次期製品版で脆弱性を修正したと発表しました。この脆弱性はiPadOS 13にも影響します。近日中にリリースされる予定です。(ちなみに、なぜ13.4.2ではなく13.4.5なのかは、当然ながら分かりません。)
大多数のユーザーは行動を変える必要はありません。なぜなら、これらのエクスプロイトは、データ窃取などの悪意ある活動を実行するために他のコードと組み合わせる必要があるからです。メールから抜け出して他のアクションを実行できるペイロードが必要となるため、これらのエクスプロイトは政府関係者や大規模な犯罪組織にしか有効ではありません。攻撃は極めて標的を絞ったものになるはずです。ZecOpsは、特定した様々な疑わしい標的をリストアップしており、その中には米国のフォーチュン500企業の従業員、欧州のジャーナリスト、日本の携帯電話会社の幹部などが含まれていました。
ZecOpsは、実際に観測された攻撃に関する十分な情報をまだ公開しておらず、他のセキュリティ研究者が同社の主張を検証できるほどではない。同社は、これらのエクスプロイトが実際にどのように機能するかを示す概念実証を公開する予定だと述べている。
ZecOpsは、これらの脆弱性が差し迫った脅威をもたらすと判断し、ベンダーへの報告後、通常90日間の猶予期間が経過する前に脆弱性を公開したと述べた。同社は、これらの脆弱性が実際に使用されていることを確認しており、Appleが修正プログラムを含む13.4.5ベータ版をリリースしたことで、悪意のある攻撃者が製品版で修正される前に脆弱性を悪用するのに十分な情報を提供してしまう可能性があると述べた。
これらのエクスプロイトは、iOSのシェルをクラックして他のコードの実行を可能にするだけです。それ自体では任意のコードの実行は許可されません。しかしながら、あらゆるOSのゼロデイエクスプロイトは、犯罪者、政府のセキュリティ機関、そしてそれらを発見して販売する闇の組織の間で常に流通しています。