AppleのiOSが5つの重大なセキュリティ欠陥に見舞われる

By Chiyoye

Google の研究者らは、過去 2 年間でほぼすべての iOS デバイスに影響を及ぼし、ハッキングされたサイトにアクセスするだけで悪用できる一連の深刻な脆弱性を発見しました。何「全人口を監視する」

Apple はこの発表で素晴らしい一日を過ごせたと考えたiPhone 11の発売日、しかし失敗しました。チームプロジェクトゼロ深刻ないわゆるゼロデイ脆弱性の追跡を専門とする Google は、脆弱性の存在を 1 つも公表していませんが、5つの障害チェーン14 の異なる脆弱性をまとめます。これらは 2019 年 2 月 1 日に Apple に通知され、2 月 7 日に iOS 12.1.4 アップデートで修正されました。したがって、すべての iPhone および iPad ユーザーは、それをインストールする必要があります。それ以外の場合は、まだ修正されていません。

研究室«集めることができましたこれは、iOS 10 から最新バージョンの iOS 12 までのほぼすべてのバージョンをカバーする、5 つの個別の包括的かつ独自の iPhone エクスプロイト チェーンです。これは、あるグループが、いくつかのコミュニティで iPhone ユーザーを長期間にわたりハッキングする継続的な取り組みを行っていることを示しています。少なくとも過去2年間はそうだった。」これはおそらく iOS 史上最も深刻なサイバーセキュリティインシデントです。

無差別かつ大規模な攻撃

そのため、ほぼすべての iOS デバイスが少なくとも 2 年間脆弱な状態にあり、特定の Web サイトにアクセスすると攻撃される可能性がありました。「標的に差別はなかった。必要なのは、ハッキングされたエクスプロイト サーバーのサイトにアクセスしてデバイスを攻撃し、成功した場合は監視インプラントをインストールすることだけです。 »関連するサイトがホストされている「毎週数千人のユーザー」

「恐ろしいですね」サイバーセキュリティ研究者のトーマス・リード氏がコメント雑誌からワイヤード「私たちはiPhoneの感染が国家敵対者による標的型攻撃であることに慣れています。誰かが特定のサイトにアクセスしたすべての iPhone に感染していたという考えは、ゾッとします。 »この欠陥により、攻撃者は権限昇格を実行することができ、デバイスの内部動作とそこに保存されているデータにほぼ完全にアクセスできるようになります。その後、スパイウェアがスマートフォンにインストールされ、このデータが攻撃者のサーバーに送信されました。

国家機関が関与しているのか?

Project Zero は、これらの欠陥を悪用したハッカーの身元に関する情報を提供していません。これらの攻撃の規模と複雑さは、明らかに大規模なスパイ活動を目的としたものであり、主権国家を示唆しています。また、この作戦が検出されずに長期間活動し続けられたことも非常に注目に値します。大量のデータ収集は、事件を後援したとされる国の領土内に限定されていたと考えられる。

ただし、ゼロデイの洗練さと、彼らがインストールを許可したスパイウェアのアマチュアリズムとの間のコントラストは顕著です。悪意のあるインプラントは、Web の標準である HTTPS 暗号化を使用せずに電話機からデータを抽出し、ネットワーク上の誰もが何が起こっているかを観察できるようにしました。データは、スパイウェア内に平文で書き込まれた IP アドレスを持つサーバーにルーティングされました。

«全人口の私的活動をリアルタイムでターゲットにして監視する »

経験の浅い政府機関がサードパーティのハッカー集団からおそらく巨額の資金を投じて脆弱性を購入した可能性があります。「彼らは山ほどのお金とひどいノウハウを持っている人たちです。なぜなら彼らはこのゲームに比較的慣れていないからです。」からの推測ワイヤードジェイク・ウィリアムズ、元NSAハッカー。

いずれにせよ、これらのインシデントは iOS セキュリティにおける 1 つのページをマークしました。 Apple のオペレーティング システムは、徹底的なハッキングが難しいことで知られており、各ハッキングでは個別のデバイスのみを標的にすることができ、それぞれに法外な金銭的コストがかかるため、次のような常套句が生まれました。100万ドルの反体制派首長国の反対派によると彼のスパイ活動はアラブ首長国連邦政権に100万ドル以上の損害を与えたであろう。

「これらのエクスプロイトにかかる費用が 100 万ドル、200 万ドル、あるいは 2,000 万ドルかどうかについては、私は議論には参加しません。」このように書かれていますプロジェクト・ゼロのイアン・ビア。「むしろ、全人口の私的活動をリアルタイムでターゲットにして監視できることを考えると、これらの価格はすべて低く見えると思います。」

隔週木曜日の午後 5 時から 7 時まで開催されるショーにご参加ください。ロックを解除するによって制作されましたフランアンドロイドなどヌメラマ!技術ニュース、インタビュー、ヒントと分析…またお会いしましょうTwitchでライブ配信するもしくは再放送でYouTube で

Related Post

Bluetooth スピーカー テスト 2023: Bluetooth スピーカーのテストと取り扱い

Bluetooth スピーカー テスト 2023: Bluetooth スピーカーのテストと取り扱いChiyoye

コントローラー テスト 2010: コントローラーのテストと取り扱い

コントローラー テスト 2010: コントローラーのテストと取り扱いChiyoye

コントローラー テスト 2012: コントローラーのテストと取り扱い

コントローラー テスト 2012: コントローラーのテストと取り扱いChiyoye

You Missed

コントローラー テスト 2012: コントローラーのテストと取り扱い

最高の Android、iPhone、iPad のアプリとゲーム

タッチスクリーン タブレット テスト 2010: タブレットのテストと取り扱い

スマート TV テスト 2011: コネクテッド TV のテストと取り扱い

ロボット掃除機検定2016:ロボット掃除機の試験と取り扱い

ラップトップ テスト 2012: ラップトップのテストと取り扱い

カーテスト 2015: 電気自動車のテストと取り扱い

Bluetooth スピーカー テスト 2023: Bluetooth スピーカーのテストと取り扱い