実環境で捕捉されたNSO GroupのiPhone向けゼロクリック・ゼロデイ・エクスプロイト
(citizenlab.ca)- ワシントンDCを拠点とする国際市民社会組織の職員のiPhoneを調査する過程で、NSO GroupのPegasusスパイウェアを配信していた実際の悪用中の脆弱性が発見された
- Citizen LabがBLASTPASSと名付けたこのエクスプロイトチェーンは、最新のiOS 16.6でも被害者の操作なしにiPhoneを侵害できた
- 攻撃者はiMessageで悪意ある画像を含むPassKit添付ファイルを送り、ゼロクリック感染を試みており、Citizen Labは今後さらに詳しい分析を公開する予定
- Citizen Labは発見内容をAppleに直ちに共有し、Appleは関連脆弱性としてCVE-2023-41064とCVE-2023-41061を採番した
- AppleのアップデートはiPhone、iPad、Mac、Apple Watchに適用され、Citizen LabとApple Security Engineering and ArchitectureチームはLockdown Modeがこの攻撃を阻止するとみている
BLASTPASSエクスプロイトチェーン
- Citizen Labは、ワシントンDCを拠点とし国際オフィスを持つ市民社会組織の職員のデバイスを調査していた際、実際に悪用されているゼロクリック脆弱性を発見した
- この脆弱性は、NSO GroupのPegasus傭兵スパイウェアを配信するために使われていた
- Citizen LabはこのエクスプロイトチェーンをBLASTPASSと命名した
- BLASTPASSは、被害者の操作なしに最新のiOS 16.6を実行するiPhoneを侵害できた
- 攻撃は、攻撃者のiMessageアカウントから被害者へPassKit添付ファイルを送る方式だった
- 添付ファイルには悪意ある画像が含まれていた
- 関連文書はPassKitで確認できる
- Citizen Labは今後、このエクスプロイトチェーンについてより詳しい議論を公開する予定
Appleへの開示とCVE
- Citizen Labは発見内容をAppleに直ちに共有し、Appleの調査に協力した
- Appleはこのエクスプロイトチェーンに関連して2件のCVEを採番した
-
CVE-2023-41064
- CVE-2023-41061
-
直ちにアップデート、そしてLockdown Mode
- Citizen Labはすべてのユーザーに対し、デバイスを直ちにアップデートするよう勧告している
- AppleはApple製品向けのアップデートを公開しており、対象にはiPhone、iPad、Mac、Apple Watchが含まれる
- 身分や活動のためにより高いリスクにさらされる可能性があるユーザーには、Lockdown Modeの有効化が推奨される
- Citizen LabとApple Security Engineering and Architectureチームは、Lockdown Modeがこの特定の攻撃を阻止するとみている
- Citizen LabはAppleの迅速な調査対応とパッチ提供サイクルを前向きに評価し、被害者とその所属組織の協力と支援に謝意を示した
市民社会への標的化が示すセキュリティ上のシグナル
- 今回の発見は、市民社会が高度なエクスプロイトと傭兵スパイウェアの標的になっていることを改めて示している
- Appleのアップデートは、世界中の一般ユーザー、企業、政府のデバイスを保護することになる
- BLASTPASSの発見は、市民社会組織を支援することが集団的サイバーセキュリティに大きな価値を持つことを浮き彫りにしている
更新履歴
- 記事は9月7日米東部時間午後5時42分に更新された
- 更新には、Apple Security Engineering and ArchitectureチームとCitizen LabがLockdown Modeがこの特定の攻撃を阻止するとみているという内容が反映された
1件のコメント
Hacker News の意見
Apple とソフトウェアの話は多いが、NSO Group がなぜ存在できるのかについての話は少なすぎる
彼らはほとんど公然と活動していて、恥じてもいないように見える。そうでなければ、これを履歴書に載せたりはしないだろう: https://www.linkedin.com/company/nso-group/people/
これを見ると、「技術コミュニティ」はこうした技術の利用をあまりにも簡単に容認しているように思える。私たちが「世界をより良くする」と信じている、あの技術のことだ
NSO はイスラエル政府の支援を受けているように見える。彼らは事前審査を通過した政府にしか販売しないと言っているが、現実には政権に反対する人々を監視し迫害する権威主義国家に売ることが多い
NSO Group が悪い理由は、抑圧的な政権に販売し、その政権が無実の民間人を害するようソフトウェアの配備を積極的に支援した疑いがあるからだ。こうした行為と意図、責任管理の失敗のために制裁を受けるべきで、記憶ではすでに制裁中だったはずだ
ただし、売り手と買い手が善意であり、法律に沿ってのみ使用する計画であることなど、例外は多い。法的助言ではない
世界がすぐに武装解除すると期待する理由はないので、最善なのは認識を持ち、民主的に政策へ影響を及ぼしながら、悪い発想と悪い行為者を排除していくことだ
イスラエルはイランとの潜在的な戦争に備えて同盟を作るため、サウジアラビアを引き込み続けようとしている。サウジ領空の通過を得るためなら、人権活動家を数人くらいは間違いなく犠牲にするだろう。ただ最近は、イスラエルにとって物事があまりうまく進んでいないようだ
実際には、技術コミュニティは非常に多様で、まったくまとまっていない。たとえば多くの開発者は基本的な生活費をやっと賄える程度で、NSO が何なのかを知る精神的余裕すらない
Lockdown Mode は、記者であるか、直接的で明白な危険にさらされている人でない限り使わないよう、やたらと強調されている点が興味深い。実際にはユーザー視点で機能差は大きくなく、バックグラウンドで動いて攻撃対象領域を広げる Apple のさまざまな不要なものをオフにする程度だ
それでも皆が「誰でも使っていいものではなく、特別な人だけが使うべきだ」というような但し書きをなぞって話している。希少資源でもなければゼロサムでもないのに。むしろ全員が使えば、ユーザーにメリットのない機能を多く止められてバッテリーも節約でき、使う人が増えるほど特定ユーザーを識別する手段として使われにくくなる
Apple は iOS が Android より遅い、または鈍いと感じられるのを避けたいのだろう。またゼロデイ・スパイウェアは通常、大規模監視よりも重要人物を狙うものなので、個人にとっての実際のリスクは小さいとはいえる
2つのモードの中間的な折衷モードがあるとよい。必要な機能があるときに数分間だけセキュリティを下げられるようにする形だ。たとえば Safari が JavaScript の遅さを検知したら、JIT を再び有効にするか尋ねられるようにするなど
現実政治の観点では、抑圧的な政権が、Apple がこの機能を搭載した端末を発売することを認める代わりに、積極的に宣伝したりデフォルトにしたりしないことを条件にした可能性がある。中国で Lockdown Mode がデフォルトでオンになり、大多数が使うようになれば、Apple はすぐに中国から追い出されるだろう
Web コンテンツでも違いは感じなかったが、Safari ではなく Firefox/Chrome を使っているからかもしれない。本当に欲しいのは選択肢だ。たとえば iOS では共有写真アルバムを使うので、その機能は維持しつつ、残りの機能だけをオフにできるとよい
まず Continuity がほぼ壊れるように見え、個人的にはかなり依存している機能だ。AirPlay もかなり気まぐれになる
すべてネットワークの問題かもしれないが、Lockdown Mode に切り替えてからだけそうなった。また、スクリーンタイムのリクエストが使えないのもかなり不便だ
iMessageにはこれまでいくつ脆弱性があったのか?
新しい連絡先からの最初のメッセージは純粋なテキストだけを許可し、それ以外のメッセージも、ActiveXと大差ない狂った拡張システムではなく、ごく限定されたサブセットだけを許可する時期ではないのか。
さらに、アプリ全体をサンドボックス内で動かし、追加の保護層としてすべてWebViewで処理することも検討に値する。
iMessageも同じ理由で、まったく同じ動作をすべきだ。同じ建物で働く強欲なプロダクトマネージャーたちが、前の世代が苦痛を伴って学んだ教訓をまた学び直すのを見るのはもどかしい。
答えが「画像をレンダリングしないようにしよう」であってはならない。画像のような外部データをパースするコンポーネントは、入力が何であれ悪意ある挙動をできないと信頼できるべきだ。
サンドボックス化が必要ならそうすればよいし、すべての画像パーサーを安全な言語で一から書き直す必要がある、あるいは形式的に正しさを証明する必要があるなら、そうすればよい。Appleには自前の宇宙計画を10回回せるほどの資金があるのだから、証明可能な画像ライブラリも作れるはずだ。
iMessageには少数のエクスプロイトがあり、NSOのようなところがそれを極めて高額で、ごく少数の質の悪い国家主体にライセンスし、超高リスクの標的型攻撃に使っている形だ。
見つけた。興味のある人のために:iPhoneでSettingsに行き、Messagesをタップして、iMessageをOffに設定すればよい。
また画像デコードのバッファオーバーフローとは、2021年の脆弱性に似て聞こえる [1]
あの時は本当に強烈だった。PDFに含まれた難解な画像圧縮形式が提供する原始的な演算でCPUを作り、任意コード実行へ追加で昇格できるだけの算術演算を実行していた。
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
誤解はしてほしくない。JPEG-XLは良いアイデアだと思うが、「画像形式をもう一つサポートすることに何の害があるのか」と言う人たちへの答えがこれだ。
この修正は今日出ており、発表とタイミングを合わせたようなので、自分と周囲の人のアップデートが適用されているか確認すべきだ。
https://support.apple.com/en-us/HT201222
知る限り、iMessageのすべてのパースコードはBlastDoorサンドボックス内で動くはずだが、ここに公開されていない別のチェーン脆弱性があるのだろうか?
NSO Groupを商務省のブラックリストに載せただけでは明らかに不十分だった。このゴミどもは、少なくとも比喩的にはハーグに送られるべきだ。
NSO Group、Pegasus、Citizen Labが気になるなら、Darknet Diariesポッドキャストの第100回が歴史をうまく整理してくれている。
気になる人向けのリンク: https://darknetdiaries.com/episode/100/
もっと細かいLockdown Modeが必要だ。例えば、iMessageとSafariの自動化やリスク要素はオフにしつつ、デバイスアクセサリは動作し続けるようにする、といった具合だ。
iMessageのゼロクリックエクスプロイトから自分を守ろうとしてBluetoothアクセサリまで失うのはよくない。iMessageが最も大きく開いた攻撃面だ。
例えば Settings > Messages > iMessage は、iMessageが問題だと感じるならオフにできるスイッチだ。
Settings > Safari > Privacy and security にも、Safariについてより細かなロックダウンを構成できる設定がいくつかある。
Lockdown Mode がこの攻撃を防げたのか気になる
これまでに Lockdown Mode 状態の iPhone がゼロデイ脆弱性でハッキングされたことはあるのか?ユーザーをだましてマルウェアをインストールさせた場合は除いて
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
CL リンク: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
関連する進行中のスレッド:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - 2023年9月、コメント7件