今年初め、シスコのTalos部門はAppleに重大な画像処理バグを報告しました。その一つは、攻撃者が「iMessage、悪意のあるWebページ、MMSメッセージ、または任意のアプリケーションで開かれたその他の悪意のある添付ファイル」を介してマルウェアを注入したり、リモートでコードを実行したりする可能性があるものでした。これらの脆弱性は、Appleの現行OSの7月18日のアップデートで修正されました。一部のメディアは、この脆弱性をAppleの「Stagefright」と即座に呼びました。これは、1年前に発見されたAndroidの深刻な脆弱性を指し、MMSメッセージを介してAndroidスマートフォンにアクセスしたり、乗っ取ったりすることが可能でした。しかし、脆弱性の深刻さはさておき、詳細はこの懸念を裏付けるものではありません。
Talosは、BMP、Digital Asset Exchange、OpenEXR、TIFF画像ファイルとして保存された悪意のあるデータがオペレーティングシステムを欺き、コードの記述と実行を許し、システムをリモートエクスプロイトにさらす可能性があることを発見しました。しかし、古くからあるロスレス画像形式であるTIFFは、ユーザーが悪意のあるファイルを開かなくても、多くの場合AppleのOSがTIFF画像にアクセスしてレンダリングを行うため、最も危険な攻撃者です。
このバグに関する報道の多くはMMSとiOSの観点に焦点を当てていましたが、Talosは悪意のあるWebページを介してTIFFの脆弱性を悪用する概念実証を作成したにとどまりました。これらのバグを報告したTalosのシニアセキュリティリサーチャー、Tyler Bohan氏はメールで、TalosはOS XのSafariでこの脆弱性を悪用する概念実証を作成できたと述べ、その結果を今月初めにニューヨークで開催されたハッカーコンベンション「SummerCon」で発表しました。レポートはダウンロード可能です。
ボハン氏によると、アドレス空間配置ランダム化(ASLR)によってOS Xの任意コード実行に対する保護の一部を回避し、悪意のある配信コードが実行される可能性のある場所を調査・制御することができたという。iOSとOS Xの類似性を考えると、「OS Xで行われている作業は、iOSのブラウザにも同様に移植できるはずだ」と彼は述べている。
TIFFバグを誘発する他の経路でコードが実行される可能性はまだ示されていません。「iOSはiMessage経由の攻撃にもさらされており、プラットフォームの緩和策が回避された場合、攻撃者にコード実行を許してしまう可能性があります。しかし、MMS/iMessage経由の攻撃が可能であることを証明するには、さらなる研究が必要です」と彼は述べています。
搾取の窓が急速に閉ざされる
TIFF脆弱性は、パッチが適用されていないすべてのApple OS(iOS 9、tvOS 9、watchOS 2、OS X 10.11 El Capitan、10.9 Mavericks、10.10 Yosemite)の最新リリースに影響します。他の4つの脆弱性は、これらのリリースの様々な組み合わせに影響し、発動にはより直接的な操作が必要です。Talosは業界標準の責任ある情報開示ポリシーに基づき、Appleに事前に詳細情報を提供しました。Appleは現行OS向けのアップデートをリリースしましたが、本稿執筆時点では、MavericksとYosemiteのセキュリティ修正は提供されていません。
Stagefrightとの比較は一見妥当に思えましたが、表面を少し触ってみると、類似点はごくわずかです。Stagefrightは2011年にリリースされたAndroid 2.2以降のバージョンに影響を与え、数億台のAndroidスマートフォン、タブレット、その他のデバイスに感染しました。数億台のAndroidスマートフォンはStagefright対策のパッチが適用されておらず、セキュリティアップデートサイクルをはるかに超えているものも多くあります。(Stagefrightの影響は、Googleハングアウトとメッセンジャーアプリのアップデートによって部分的に軽減されました。)
しかし、前述の通り、TalosはSafariとOS Xに対する攻撃を実施したにもかかわらず、MMSとiMessageの攻撃経路は未だ実証されていません。フィッシングやウェブページコンテンツのハイジャックなど、悪意のあるウェブコンテンツの配信は、マルチメディアメッセージングよりも手軽です。
理論と実践の間には大きな隔たりがあり、たとえ効果的な概念実証が存在したとしても、深刻なエクスプロイトがマルウェアの広範なベクトルに転用されないこともあります。セキュリティ企業Sophosがこれらのバグに関するブログ記事で指摘しているように、「すべての脆弱性が実用的なエクスプロイトに転用できるわけではありません。攻撃者は意図的に細工したファイルを送信することで、問題のあるコードをクラッシュさせるだけでなく、その過程で制御を奪い取ることができるのです。」
これらの欠陥がどれほど巧妙かつ迅速に悪用され、ペイロードの配信に利用されるかを知らなければ、マルウェアを開発する「企業」は時間と研究に投資しないかもしれません。(政府や請負業者は、個人、企業、外国機関など、特定の標的を侵害するためのツールキットの一部として、これらの角度から攻撃を仕掛けるかもしれません。)
セキュリティ企業Trail of BitsのCEO、ダン・グイド氏はRedditで、iOSで悪意のあるコードの実行を困難にするいくつかの問題点を指摘し、Androidには存在しiOSには存在しない脆弱性についても指摘しました。ボハン氏は同じRedditスレッドで、さらに技術的な詳細を述べて反論しました。
とはいえ、現行バージョンのOS Xを使用しているAppleユーザーの割合と、AppleユーザーがiOS、tvOS、watchOSをアップデートする速度を考えると、標的として残るユーザーの数は比較的少ないと言えるでしょう。Appleが10.9と10.10にパッチを当てなかったとしても、その割合はOS Xユーザーの中ではわずかであり、しかも減少傾向にあります。Net Applicationsのブラウザベースの分析によると、OS Xユーザーのうち10.11 El Capitanを使用しているユーザーは10.10 Yosemiteのほぼ3倍に上り、10.9 Mavericksを使用しているユーザーはYosemiteインストール数の3分の1にも満たない状況です。
