1 ポイント 投稿者 GN⁺ 2023-09-08 | 1件のコメント | WhatsAppで共有
  • ワシントンDCを拠点とする国際市民社会組織の職員のiPhoneを調査する過程で、NSO GroupのPegasusスパイウェアを配信していた実際の悪用中の脆弱性が発見された
  • Citizen LabがBLASTPASSと名付けたこのエクスプロイトチェーンは、最新のiOS 16.6でも被害者の操作なしにiPhoneを侵害できた
  • 攻撃者はiMessageで悪意ある画像を含むPassKit添付ファイルを送り、ゼロクリック感染を試みており、Citizen Labは今後さらに詳しい分析を公開する予定
  • Citizen Labは発見内容をAppleに直ちに共有し、Appleは関連脆弱性としてCVE-2023-41064CVE-2023-41061を採番した
  • AppleのアップデートはiPhone、iPad、Mac、Apple Watchに適用され、Citizen LabとApple Security Engineering and ArchitectureチームはLockdown Modeがこの攻撃を阻止するとみている

BLASTPASSエクスプロイトチェーン

  • Citizen Labは、ワシントンDCを拠点とし国際オフィスを持つ市民社会組織の職員のデバイスを調査していた際、実際に悪用されているゼロクリック脆弱性を発見した
  • この脆弱性は、NSO GroupのPegasus傭兵スパイウェアを配信するために使われていた
  • Citizen LabはこのエクスプロイトチェーンをBLASTPASSと命名した
  • BLASTPASSは、被害者の操作なしに最新のiOS 16.6を実行するiPhoneを侵害できた
  • 攻撃は、攻撃者のiMessageアカウントから被害者へPassKit添付ファイルを送る方式だった
    • 添付ファイルには悪意ある画像が含まれていた
    • 関連文書はPassKitで確認できる
  • Citizen Labは今後、このエクスプロイトチェーンについてより詳しい議論を公開する予定

Appleへの開示とCVE

  • Citizen Labは発見内容をAppleに直ちに共有し、Appleの調査に協力した
  • Appleはこのエクスプロイトチェーンに関連して2件のCVEを採番した
    • CVE-2023-41064

      • CVE-2023-41061

直ちにアップデート、そしてLockdown Mode

  • Citizen Labはすべてのユーザーに対し、デバイスを直ちにアップデートするよう勧告している
  • AppleはApple製品向けのアップデートを公開しており、対象にはiPhone、iPad、Mac、Apple Watchが含まれる
  • 身分や活動のためにより高いリスクにさらされる可能性があるユーザーには、Lockdown Modeの有効化が推奨される
  • Citizen LabとApple Security Engineering and Architectureチームは、Lockdown Modeがこの特定の攻撃を阻止するとみている
  • Citizen LabはAppleの迅速な調査対応とパッチ提供サイクルを前向きに評価し、被害者とその所属組織の協力と支援に謝意を示した

市民社会への標的化が示すセキュリティ上のシグナル

  • 今回の発見は、市民社会が高度なエクスプロイトと傭兵スパイウェアの標的になっていることを改めて示している
  • Appleのアップデートは、世界中の一般ユーザー、企業、政府のデバイスを保護することになる
  • BLASTPASSの発見は、市民社会組織を支援することが集団的サイバーセキュリティに大きな価値を持つことを浮き彫りにしている

更新履歴

  • 記事は9月7日米東部時間午後5時42分に更新された
  • 更新には、Apple Security Engineering and ArchitectureチームとCitizen LabがLockdown Modeがこの特定の攻撃を阻止するとみているという内容が反映された

1件のコメント

 
GN⁺ 2023-09-08
Hacker News の意見
  • Apple とソフトウェアの話は多いが、NSO Group がなぜ存在できるのかについての話は少なすぎる
    彼らはほとんど公然と活動していて、恥じてもいないように見える。そうでなければ、これを履歴書に載せたりはしないだろう: https://www.linkedin.com/company/nso-group/people/
    これを見ると、「技術コミュニティ」はこうした技術の利用をあまりにも簡単に容認しているように思える。私たちが「世界をより良くする」と信じている、あの技術のことだ

    • Pegasus の NSO を扱った PBS のドキュメンタリーが良い: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO はイスラエル政府の支援を受けているように見える。彼らは事前審査を通過した政府にしか販売しないと言っているが、現実には政権に反対する人々を監視し迫害する権威主義国家に売ることが多い
    • NSO は「テロリストと犯罪者」だけを標的にしていると言うのだから、法律をきちんと守っていて隠すもののない市民なら心配することはないはずだよね? 調査報道や野党政治をしただけで犯罪者やテロリストの疑いをかけるような政権なんて、この世にあるはずがないのだから
    • 米国法人同士でマルウェア/ソフトウェア兵器を販売することはおおむね合法で、ITAR の規制対象になる場合は、オープンソースでない限り米国政府または ITAR 承認済みサプライヤーにしか販売できないという大きな例外がある
      NSO Group が悪い理由は、抑圧的な政権に販売し、その政権が無実の民間人を害するようソフトウェアの配備を積極的に支援した疑いがあるからだ。こうした行為と意図、責任管理の失敗のために制裁を受けるべきで、記憶ではすでに制裁中だったはずだ
      ただし、売り手と買い手が善意であり、法律に沿ってのみ使用する計画であることなど、例外は多い。法的助言ではない
    • こうしたものの多くは兵器に分類されるため、実質的には企業ではなくイスラエル政府が販売しているのに近い。ウクライナで Ka-52 を撃墜するのにも使われ、民間旅客機を撃墜するのにも使われる MANPADS と変わらず、製造国の外交政策とその失敗によって方向づけられる
      世界がすぐに武装解除すると期待する理由はないので、最善なのは認識を持ち、民主的に政策へ影響を及ぼしながら、悪い発想と悪い行為者を排除していくことだ
      イスラエルはイランとの潜在的な戦争に備えて同盟を作るため、サウジアラビアを引き込み続けようとしている。サウジ領空の通過を得るためなら、人権活動家を数人くらいは間違いなく犠牲にするだろう。ただ最近は、イスラエルにとって物事があまりうまく進んでいないようだ
    • 「技術コミュニティ」を、特定の方向へ転換できる組織力を持ったまとまりのある集団のように見ている印象がある
      実際には、技術コミュニティは非常に多様で、まったくまとまっていない。たとえば多くの開発者は基本的な生活費をやっと賄える程度で、NSO が何なのかを知る精神的余裕すらない
  • Lockdown Mode は、記者であるか、直接的で明白な危険にさらされている人でない限り使わないよう、やたらと強調されている点が興味深い。実際にはユーザー視点で機能差は大きくなく、バックグラウンドで動いて攻撃対象領域を広げる Apple のさまざまな不要なものをオフにする程度だ
    それでも皆が「誰でも使っていいものではなく、特別な人だけが使うべきだ」というような但し書きをなぞって話している。希少資源でもなければゼロサムでもないのに。むしろ全員が使えば、ユーザーにメリットのない機能を多く止められてバッテリーも節約でき、使う人が増えるほど特定ユーザーを識別する手段として使われにくくなる

    • iOS は少し不便にはなる。たとえば iMessage で互いを追加するときがそうだし、Safari の JavaScript 性能も大きく落ちる
      Apple は iOS が Android より遅い、または鈍いと感じられるのを避けたいのだろう。またゼロデイ・スパイウェアは通常、大規模監視よりも重要人物を狙うものなので、個人にとっての実際のリスクは小さいとはいえる
      2つのモードの中間的な折衷モードがあるとよい。必要な機能があるときに数分間だけセキュリティを下げられるようにする形だ。たとえば Safari が JavaScript の遅さを検知したら、JIT を再び有効にするか尋ねられるようにするなど
    • 人々にバックグラウンド機能を使ってほしくなかったなら、そもそも入れなかったはずだ。Apple が意図して入れた機能を、それが「無駄なもの」であろうとなかろうと、ユーザーに使ってほしいと考えるのは驚くことではない
    • 資本主義の観点では、強く注意しておかないと、Apple を初めて使う顧客が心配する友人や家族に勧められて Lockdown Mode をデフォルトでオンにし、宣伝されていた機能が動かないと Apple に苦情を言ったり、端末を返品したりする可能性がある
      現実政治の観点では、抑圧的な政権が、Apple がこの機能を搭載した端末を発売することを認める代わりに、積極的に宣伝したりデフォルトにしたりしないことを条件にした可能性がある。中国で Lockdown Mode がデフォルトでオンになり、大多数が使うようになれば、Apple はすぐに中国から追い出されるだろう
    • Mac では iMessage、FaceTime、その他の Apple サービスを使わないので、Lockdown Mode をオンにして使っている。実質的にはソフトウェア開発と YouTube 動画用のコンピュータにすぎない
      Web コンテンツでも違いは感じなかったが、Safari ではなく Firefox/Chrome を使っているからかもしれない。本当に欲しいのは選択肢だ。たとえば iOS では共有写真アルバムを使うので、その機能は維持しつつ、残りの機能だけをオフにできるとよい
    • Lockdown Mode をオンにすると、おかしくなるものがかなりあった
      まず Continuity がほぼ壊れるように見え、個人的にはかなり依存している機能だ。AirPlay もかなり気まぐれになる
      すべてネットワークの問題かもしれないが、Lockdown Mode に切り替えてからだけそうなった。また、スクリーンタイムのリクエストが使えないのもかなり不便だ
  • iMessageにはこれまでいくつ脆弱性があったのか?
    新しい連絡先からの最初のメッセージは純粋なテキストだけを許可し、それ以外のメッセージも、ActiveXと大差ない狂った拡張システムではなく、ごく限定されたサブセットだけを許可する時期ではないのか。
    さらに、アプリ全体をサンドボックス内で動かし、追加の保護層としてすべてWebViewで処理することも検討に値する。

    • すでに滑らかに適用された先例がある。Apple Mailクライアントは、未知の送信者からのメディアをユーザー確認なしにレンダリングしない。
      iMessageも同じ理由で、まったく同じ動作をすべきだ。同じ建物で働く強欲なプロダクトマネージャーたちが、前の世代が苦痛を伴って学んだ教訓をまた学び直すのを見るのはもどかしい。
    • いまだにこういうことが繰り返されるのが信じられない。「ゼロクリック」と聞けば、画像やフォントのような複雑なペイロードの一つだと分かる。
      答えが「画像をレンダリングしないようにしよう」であってはならない。画像のような外部データをパースするコンポーネントは、入力が何であれ悪意ある挙動をできないと信頼できるべきだ。
      サンドボックス化が必要ならそうすればよいし、すべての画像パーサーを安全な言語で一から書き直す必要がある、あるいは形式的に正しさを証明する必要があるなら、そうすればよい。Appleには自前の宇宙計画を10回回せるほどの資金があるのだから、証明可能な画像ライブラリも作れるはずだ。
    • これはActiveXとはかなり違う。ActiveXでは、usenetの暗い片隅で何百ものエクスプロイトが自由に出回り、典型的な地下室のスクリプトキディたちが世界中のコンピュータを相手に悪用していた。
      iMessageには少数のエクスプロイトがあり、NSOのようなところがそれを極めて高額で、ごく少数の質の悪い国家主体にライセンスし、超高リスクの標的型攻撃に使っている形だ。
    • iOSのすべてのプロセスはサンドボックス内で実行される。だからこそ、こうしたエクスプロイトを作るのがそれほど難しいのだ。
    • iPhoneでiMessageを実際にオフにできるのか気になっていた。今はWhatsAppだけを使っていて、強化されたSMSには興味がない。
      見つけた。興味のある人のために:iPhoneでSettingsに行き、Messagesをタップして、iMessageをOffに設定すればよい。
  • また画像デコードのバッファオーバーフローとは、2021年の脆弱性に似て聞こえる [1]
    あの時は本当に強烈だった。PDFに含まれた難解な画像圧縮形式が提供する原始的な演算でCPUを作り、任意コード実行へ追加で昇格できるだけの算術演算を実行していた。
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • 昔jailbreakme.comが使っていたiOS 4のTIFレンダリングバグも思い出す。Safariでボタンを押したらiPod touchが再起動してCydiaがインストールされていたのは見事だった。
    • だからChromeがまだJPEG-XLを採用していないことに、より共感するようになった。
      誤解はしてほしくない。JPEG-XLは良いアイデアだと思うが、「画像形式をもう一つサポートすることに何の害があるのか」と言う人たちへの答えがこれだ。
    • また画像デコードのバッファオーバーフローだ。Appleなら脅威モデリングをしてファジングを徹底しているだろうと思うかもしれないが、違った。時価総額2.7兆ドルの会社がこれをできていない。
    • 愚かな質問かもしれないが、危険性が高いことで悪名高いメディアデコーダは、なぜきちんとサンドボックス化されていないのか?
    • セキュリティ方面はよく分からないが、これは絶対に忘れられなさそうだ。魅惑的だ。
  • この修正は今日出ており、発表とタイミングを合わせたようなので、自分と周囲の人のアップデートが適用されているか確認すべきだ。
    https://support.apple.com/en-us/HT201222

    • 興味深いことに、カーネル脆弱性のようなものには触れられていない。
      知る限り、iMessageのすべてのパースコードはBlastDoorサンドボックス内で動くはずだが、ここに公開されていない別のチェーン脆弱性があるのだろうか?
    • なぜまだiOS 15向けの修正がないのか気になる。iOS 15はこの攻撃に脆弱ではないのか? それともセキュリティ修正のバックポートはしばしば遅れるが、自分が知らないだけなのか? だとすると、こうしたエクスプロイトを防ぐために回避策を適用すべきなのか?
  • NSO Groupを商務省のブラックリストに載せただけでは明らかに不十分だった。このゴミどもは、少なくとも比喩的にはハーグに送られるべきだ。

  • NSO Group、Pegasus、Citizen Labが気になるなら、Darknet Diariesポッドキャストの第100回が歴史をうまく整理してくれている。

  • もっと細かいLockdown Modeが必要だ。例えば、iMessageとSafariの自動化やリスク要素はオフにしつつ、デバイスアクセサリは動作し続けるようにする、といった具合だ。
    iMessageのゼロクリックエクスプロイトから自分を守ろうとしてBluetoothアクセサリまで失うのはよくない。iMessageが最も大きく開いた攻撃面だ。

    • iMessageはAppleのの大きな部分でもある。Appleが、より安全かもしれない緑の吹き出しの代替メッセージアプリを許可する可能性は低い。
    • Settingsにはすでに、好みに合わせて「Lockdown Modeを調整」できる設定がある。
      例えば Settings > Messages > iMessage は、iMessageが問題だと感じるならオフにできるスイッチだ。
      Settings > Safari > Privacy and security にも、Safariについてより細かなロックダウンを構成できる設定がいくつかある。
  • Lockdown Mode がこの攻撃を防げたのか気になる
    これまでに Lockdown Mode 状態の iPhone がゼロデイ脆弱性でハッキングされたことはあるのか?ユーザーをだましてマルウェアをインストールさせた場合は除いて

  • 関連する進行中のスレッド:
    iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - 2023年9月、コメント7件